java-注入方法/变量：公共还是没有？

许多Java框架允许将用于注入的类成员声明为非公共的.例如,Spring和EJB 3中的注入变量可以是私有的. JPA允许保护持久性类的属性或将其私有化.

我们知道,如果可以的话,最好将方法声明为非公共方法.话虽如此,如果我没记错的话,允许这些框架访问非公共成员仅适用于默认的Java安全管理器.难道不是自定义代码还可以通过调用setAccessible()通过反射来获得对非公共成员的访问权限,这将损害安全性？

哪个问题提出了这个问题：设置注射方法的访问级别时的最佳实践是什么？