if 前面的語句是為了獲取當前主體執行時所需的角色? 把他放在字符集 roles中

if判斷的意思是 如果roles為空或長度為零 意味著你在controller中所寫的方法沒有進行@RequireRoles（“admin”）這樣的操作 ，也就是說你寫的這個方法無需角色權限就可以訪問 當然要返回true 直接訪問

相反若果你寫的方法進行了角色的注解 那么就要比對當前登錄用戶是否有該角色（也就是foreach當中的判斷）

if（subject.hasRole(roles)）//若果發現當前用戶有該權限 則返回true 進行訪問

反之亦然