在SpringMVC中开启Shiro注解授权的正确方法

临近年关，不知道是不是大家都空下来了，有时间学习了。最近好几个好学的童鞋在问我为什么他们在Srping的配置中文件中配置好了Shiro的注解支持Bean。但是在Controller中通过注解授权的时候就是不能生效。配置如下：

<span style="font-size:14px;"><bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/><bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  depends-on="lifecycleBeanPostProcessor"/><bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager"/></bean></span></span>

首先我说，上面的配置是正确的，可是为什么不生效呢，今天我就来说说这事儿。

我们知道Shiro的注解授权是利有Spring的AOP实现的。在程序启动时会自动扫描作了注解的Class，当发现注解时，就自动注入授权代码实现。也就是说，要注入授权控制代码，第一处必须要让框架要可以扫描找被注解的Class 。而我们的Srping项目在ApplicationContext.xml中一般是不扫描Controller的，所以也就无法让写在Controller中的注解授权生效了。因此正确的作法是将这配置放到springmvc的配置文件中.这样Controller就可以通过注解授权了。

不过问题来了，通过上面的配置Controller是可以通过注解授权了，但是Services中依然不能通过注解授权。虽然说，如果我们在Controller控制了授权，那么对于内部调用的Service层就可以不再作授权，但也有例外的情况，比如Service除了给内部Controller层调用，还要供远程SOAP调用，那么就需要对Service进行授权控制了。同时要控制Controller和Service，那么采用相同的方式，我们可以在ApplicationContext.xml中配置类同的配置，以达到相同的效果。

<bean id="serviceAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"/><bean id="serviceAuthorizationAttributeSourceAdvisor" class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager"/></bean>

在springmvc.xml中的配置改为

<bean id="controllerAdvisorAutoProxyCreator" class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"  depends-on="lifecycleBeanPostProcessor"/><bean id="controllerAuthorizationAttributeSourceAdvisor"  class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor"><property name="securityManager" ref="securityManager"/></bean>

此时，我们在同一个项目中配置了两个，DefaultAdvisorAutoProxyCreator 和AuthorizationAttributeSourceAdvisor.需要给它们指定不同的ID。