第一个可能配置文件:shiroConfig.java没加这个
/**
* 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
* 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
* @return
*/
@Bean
@ConditionalOnMissingBean
public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
advisorAutoProxyCreator.setProxyTargetClass(true);
return advisorAutoProxyCreator;
}
/**
* 开启shiro aop注解支持.
* 使用代理方式;所以需要开启代码支持;
* @param securityManager
* @return
* */
@Bean
public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
return authorizationAttributeSourceAdvisor;
}
第二个可能是:
标签定义 名称 权限
合同管理 b2b:contract
供应商合同 b2b:contract:view
添加 b2b:contract:add
编辑 b2b:contract:edit
删除 b2b:contract:del
我没给删除权限,它还是在前端显示出来,并且可以操作
原来不生效代码:
修改后:
只修改了
这是因为
第一层级权限为:【b2b:contract】,第二层级为:【b2b:contract:view】,第三层级为:【b2b:contract:add】,这个使用坑就出现了。当你使用【b2b:contract】权限时,意味着后面包含b2b:contract的都有权限了,
综上所述,有层级关系的权限标识就有可能带来使用的误区。
shiro标签的判断方式是通过集合的包含关系判断的,并不是通过字符串的形式
要主意匹配问题,不要存在包含问题,类似aaa 和aaab ,会导致后面标签失效。