spring - Spring Security - 方法级安全性和非身份验证调用

我有一个vanilla Spring Boot应用程序，它由一个控制器，一个服务和一个DAO层组成。控制器代码调用服务代码等。

为了实现一些安全性，我目前正在使用Spring Security 4.0.x的全局方法安全注释与Spring Security ACL结合使用来锁定我的服务方法。

通过我的控制器的请求被授权并被授权，因为主体/用户在上下文中。但是，我还有一些非面向用户的代码，用于侦听来自AWS队列的消息。在这个监听器代码中，我调用了一些安全服务（保持DRY而不是重复业务逻辑），但是对于这种情况，没有用户在范围内。

一般来说：

对于像我所描述的那种情况，验证无用户方法调用的好/可接受方式是什么？那些没有通过HTTP请求（或绕过检查）？我正在考虑在我的消息监听器代码中使用“系统用户”手动设置SecurityContextHolder，但这有一些代码味道。
方法级别的安全性是否更好地应用于控制器级别？