我们之前在前面说过三种授权方式
现在我们就是用 第二种 和 第三种方式
注解方式
建议在 controller 层进行方法授权.
为什么说建议呢?
因为在 service 层也是可以授权的, 但是不直观. 因为有些方法是公用的而有些方法是针对某些业务逻辑的,所以建议在 controller 层进行授权.
我们使用@RequiresPermissions() 注解来添加执行权限
//商品信息方法
@RequestMapping("/queryItems")
@RequiresPermissions("item:query")//执行queryItems需要"item:query"权限
public ModelAndView queryItems(HttpServletRequest request) throws Exception {
// 指定逻辑视图名
modelAndView.setViewName("itemsList");
return modelAndView;
}
配置开启 aop 对类代理
<!-- 开启aop,对类代理 -->
<aop:config proxy-target-class="true"></aop:config>
<!-- 开启shiro注解支持 -->
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
<property name="securityManager" ref="securityManager" />
</bean>
