因为在正常情况下,如果在方法上面加了@RequiresPermissions(“XXXX”)注释,系统会直接进入doGetAuthorizationInfo方法进行权限验证,如果没有权限,那么就会抛出 org.apache.shiro.authz.UnauthorizedException: Subject does not have permission异常,但是有时候@RequiresPermissions没有效果,如果出现这种情况,那么就在springMvc中加入代码如下(注意:在系统会用到spring AOP技术,相关信息也必须配置):
<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"> <property name="proxyTargetClass" value="true" /> </bean> <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"> <property name="securityManager" ref="securityManager"/> </bean>
lifecycleBeanPostProcessor和securityManager是在shiro配置文件中定义好的如下,但是如果在定义好这些信息的时候,报错如下:Cannot proxy target class because CGLIB2 is not available,那么就是说:cglib版本和spring版本问题,我现在项目:spring3.1使用的是:cglib-nodep-2.1_3.jar 可以正常使用。
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!--设置自定义realm --> <property name="realm" ref="monitorRealm" /> </bean><bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />