Shiro @RequiresRoles注解不生效解决方案及相应设置

刚开始集成的时候@RequiresRoles和@RequiresPermissions注解一直不生效,只能进入方法之后在代码中判断

        Subject subject= SecurityUtils.getSubject();
        try {
            subject.checkPermissions("add","update");
        }catch (UnauthorizedException e){
            log.info("错误信息:"+e.getMessage());
            //TODO 定义错误处理页面
            log.info("权限不足");
        }

后来查了下发现注解必须必须要使用相应的bean才能生效:

    @Bean
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public static DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator(){
        return new DefaultAdvisorAutoProxyCreator();
    }

网上搜的时候这俩bean是在一起的,LifecycleBeanPostProcessor 是管理shiro生命周期的,不直接跟权限注解关联。所以加上DefaultAdvisorAutoProxyCreator 这个bean就可以了。

在代码中通过subject控制跟使用注解两种方式功能是一样的,但是有些时候必须要用注解:

    @RequiresRoles(value={"admin","user"},logical = Logical.OR)
    @RequiresPermissions(value={"add","update"},logical = Logical.AND)

如果有多个权限/角色验证的时候中间用“,”隔开,默认是所有列出的权限/角色必须同时满足才生效。但是在注解中有logical = Logical.OR这块。这里可以让权限控制更灵活些。

如果将这里设置成OR,表示所列出的条件只要满足其中一个就可以,如果不写或者设置成logical = Logical.AND,表示所有列出的都必须满足才能进入方法。

用subject这种通过代码控制的方法我没有深入了解,所以没有找到这种权限的控制。再加上使用注解更加简洁明了,所以个人更倾向于使用注解方式来控制。

如果抛出异常就写个专门处理shiro异常处理的类,可以参考我前面的文章Spring Boot集成无状态Shiro–内容详细介绍

你可能感兴趣的:(其它)