apache shiro框架的@RequiresRoles 不起作用
一、问题描述
在controller控制器中的一个方法里面使用@RequireRoles("admin")注解,说明访问该方法时,需要admin角色才能访问。但是在用的时候,发现没有该角色的用户请求也可以访问,也就是说注解没有起作用。
二、在网上也查了一下,发现都说要配置
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor" p:securityManager-ref="securityManager" />但是结果检查,我的也配了。只是我配的地方实在config-shiro.xml中,该文件在web.xml中作为初始化参数来加载。
<span style="white-space:pre"> </span><context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath:config-spring.xml, classpath:config-shiro.xml </param-value> </context-param>而经过查资料说是要在spring的配置文件里面加入。因此,便把上面bean的配置移到config-spingmvc.xml文件中来,该文件在web.xml中的配置:
<span style="white-space:pre"> </span><servlet> <servlet-name>sso</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <param-value> classpath:config-springmvc.xml </param-value> </init-param> <init-param> <param-name>detectAllHandlerExceptionResolvers</param-name> <param-value>false</param-value> </init-param> <load-on-startup>2</load-on-startup> </servlet>即是作为springmvc的容器来加载的。
移动之后,发现问题完美解决。
下一篇:
分布式系统-分布式系统面试连环炮