之前的项目用shiro只实现了菜单和按钮的隐藏显示功能,但是如果懂点技术的,直接模拟你的url访问,还会直接跳到相应页面。
为了杜绝以上问题,shiro里可以在Controller的方法上加入注解来控制url访问,例如springmvc加上以下注解:
但是这个注解只是拦截验证是否有访问当前url的权限,如果无访问权限,直接抛出org.apache.shiro.authz.UnauthorizedException异常,并不会捕捉,所以页面直接报500错误,
这是我们不想看到的,我们想让他直接跳转到401页面:
经过google资料,spring有统一过滤异常的拦截器,org.springframework.web.servlet.handler.SimpleMappingExceptionResolver,可在拦截器中配置相关异常例如:
由于项目使用springboot构建,所以直接写java配置,摒弃xml,直接上代码:
测试结果:
