博客

Shiro <shirohasPermission 标签不生效,shiro权限不生效原因

  • Post author:
  • Post category:其他


第一个可能配置文件:shiroConfig.java没加这个 

/**
	 * 开启Shiro的注解(如@RequiresRoles,@RequiresPermissions),需借助SpringAOP扫描使用Shiro注解的类,并在必要时进行安全逻辑验证
	 * 配置以下两个bean(DefaultAdvisorAutoProxyCreator和AuthorizationAttributeSourceAdvisor)即可实现此功能
	 * @return
	 */
	@Bean
	@ConditionalOnMissingBean
	public DefaultAdvisorAutoProxyCreator defaultAdvisorAutoProxyCreator(){
		DefaultAdvisorAutoProxyCreator advisorAutoProxyCreator = new DefaultAdvisorAutoProxyCreator();
		advisorAutoProxyCreator.setProxyTargetClass(true);
		return advisorAutoProxyCreator;
	}

	/**
	 * 开启shiro aop注解支持.
	 * 使用代理方式;所以需要开启代码支持;
	 * @param securityManager
	 * @return
	 * */

	@Bean
	public AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor(SecurityManager securityManager){
		AuthorizationAttributeSourceAdvisor authorizationAttributeSourceAdvisor = new AuthorizationAttributeSourceAdvisor();
		authorizationAttributeSourceAdvisor.setSecurityManager(securityManager);
		return authorizationAttributeSourceAdvisor;
	}

第二个可能是:

标签定义 名称 权限

合同管理 b2b:contract

供应商合同 b2b:contract:view

添加 b2b:contract:add

编辑 b2b:contract:edit

删除 b2b:contract:del

我没给删除权限,它还是在前端显示出来,并且可以操作

原来不生效代码: 

<shiro:hasPermission name="b2b:contract:add">
                <div class="layui-inline">
                    <a class="layui-btn layui-btn-normal add_btn">添加</a>
                </div>
            </shiro:hasPermission>
            <shiro:hasPermission name="b2b:contract:edit">
                <div class="layui-inline">
                    <a class="layui-btn layui-btn-warm layui-btn-normal edit_btn">编辑</a>
                </div>
            </shiro:hasPermission>
            <shiro:hasPermission name="b2b:contract:del">
                <div class="layui-inline">
                    <a class="layui-btn layui-btn-danger layui-btn-normal delAll_btn">删除</a>
                </div>
            </shiro:hasPermission>

修改后: 

<shiro:hasPermission name="b2b:contract:add">
                <div class="layui-inline">
                    <a class="layui-btn layui-btn-normal add_btn">添加</a>
                </div>
            </shiro:hasPermission>
            <shiro:hasPermission name="b2b:contract:edit">
                <div class="layui-inline">
                    <a class="layui-btn layui-btn-warm layui-btn-normal edit_btn">编辑</a>
                </div>
            </shiro:hasPermission>
            <shiro:hasPermission name="b2b2:contract:del">
                <div class="layui-inline">
                    <a class="layui-btn layui-btn-danger layui-btn-normal delAll_btn">删除</a>
                </div>
            </shiro:hasPermission>

只修改了<shiro:hasPermission name=“b2b2:contract:del”> 就好了

这是因为

第一层级权限为:【b2b:contract】,第二层级为:【b2b:contract:view】,第三层级为:【b2b:contract:add】,这个使用坑就出现了。当你使用【b2b:contract】权限时,意味着后面包含b2b:contract的都有权限了,

综上所述,有层级关系的权限标识就有可能带来使用的误区。


shiro标签的判断方式是通过集合的包含关系判断的,并不是通过字符串的形式

要主意匹配问题,不要存在包含问题,类似aaa 和aaab ,会导致后面标签失效。


版权声明:本文为m0_54850467原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。