org.apache.shiro.authz.AuthorizationException: Not authorized to invoke method: public java.lang.String
原因分析:
集成thymeleaf后使用@Controller注解一个方法返回的是一个页面,且用了 @RequiresPermissions("app:article")注解。
但是在进行授权配置的时候针对这个登陆的用户没有配置这个权限,即该用户是没有权限访问这个页面,
此时shiro根据没有权限本应该抛出Subject does not have permission [userInfo:del]错误,做为返回的内容。
但是@Controller代表返回的是页面,所以应该是Subject does not have permission [userInfo:del]被误以为是页面,
抛出这个异常(public java.lang.String),
解决办法:
`方法一:`
将@RestController(@Controller和@ResponseBody的组合注解)替换@Controller注解
此时返回的结果是字符chuan,没有权限的返回错误结果信息是直接返回
`方法二:`
从业务逻辑设计角度出发 将不同用户的角色权限所能够请求获取到的路由地址也是不同的,
在用户登录成功时候根据用户角色权限获取该用户所拥有的全部路由地址,
如果路径太多也可进行分级获取。
`方法三:`
全局异常针对AuthorizationException异常处理
如果集成thymeleaf情况下可修改全局异常处理方式,具体根据情况
@ControllerAdvice
@Slf4j
public class GlobalException {
@ExceptionHandler(value = Exception.class)
@ResponseBody
public Result exception(Exception e) {
log.error("系统全局发生错误:[出错原因:{},出错信息:{}]",e.getCause(),e.getMessage());
if (e instanceof AuthorizationException){
return ResultUtil.ERROR(ResultCode.UN_PERMISSION);
}
return ResultUtil.ERROR(ResultCode.FAILED);
}
}
最后返回结果