一、问题描述
在controller控制器中的一个方法里面使用@RequireRoles("admin")注解,说明访问该方法时,需要admin角色才能访问。但是在用的时候,发现没有该角色的用户请求也可以访问,也就是说注解没有起作用。
二、在网上也查了一下,发现都说要配置
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
depends-on="lifecycleBeanPostProcessor" />
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"
p:securityManager-ref="securityManager" />
但是结果检查,我的也配了。只是我配的地方实在config-shiro.xml中,该文件在web.xml中作为初始化参数来加载。
<span style="white-space:pre"> </span><context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath:config-spring.xml,
classpath:config-shiro.xml
</param-value>
</context-param>
而经过查资料说是要在spring的配置文件里面加入。因此,便把上面bean的配置移到config-spingmvc.xml文件中来,该文件在web.xml中的配置:
<span style="white-space:pre"> </span><servlet>
<servlet-name>sso</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath:config-springmvc.xml
</param-value>
</init-param>
<init-param>
<param-name>detectAllHandlerExceptionResolvers</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>2</load-on-startup>
</servlet>
即是作为springmvc的容器来加载的。
移动之后,发现问题完美解决。