这两天尝试了ssm+shiro进行权限控制，发现配置了shiro开启 注解并在springMVC的controller中使用shiro注解权限控制不起作用。spring继承shiro的配置如下：

<?xml version="1.0" encoding="utf-8"?>

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">  

  <!-- 使用Shiro自带的JdbcRealm类 指定密码匹配所需要用到的加密对象 指定存储用户、角色、权限许可的数据源及相关查询语句 -->  

  <bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm"> 

    <property name="credentialsMatcher"> 

      <!-- 数据库保存的密码是使用MD5算法加密的，所以这里需要配置一个密码匹配对象 -->  

      <bean class="org.apache.shiro.authc.credential.Md5CredentialsMatcher"/> 

    </property>  

    <property name="permissionsLookupEnabled" value="true"/>  

    <property name="dataSource" ref="dataSource"/>  

    <property name="authenticationQuery" value="SELECT password from t\_user WHERE username=?"/>  

    <property name="userRolesQuery" value="SELECT r.name from t\_role r INNER JOIN t\_user\_role ur ON r.role\_id=ur.role\_id inner join t\_user u on ur.user\_id=u.user\_id WHERE u.username=?"/>  

    <property name="permissionsQuery" value="SELECT p.name FROM t\_permission p INNER JOIN t\_role\_permission rp on p.permission\_id=rp.permission\_id INNER JOIN t\_role r ON r.role\_id=rp.role\_id WHERE r.\`name\`=?"/> 

  </bean>  

  <!-- Shiro安全管理器 -->  

  <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> 

    <property name="realm" ref="jdbcRealm"/>  

    <property name="cacheManager"> 

      <!-- 缓存管理 -->  

      <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager"/> 

    </property> 

  </bean>  

  <!-- Shiro主过滤器本身功能十分强大，其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 Web应用中，Shiro可控制的Web请求必须经过Shiro主过滤器的拦截，Shiro对基于Spring的Web应用提供了完美的支持 -->  

  <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> 

    <!-- Shiro的核心安全接口，这个属性是必须的 -->  

    <property name="securityManager" ref="securityManager"/>  

    <!-- 要求登录时的链接(登录页面地址)，非必须的属性，默认会自动寻找Web工程根目录下的"/login.jsp"页面 -->  

    <property name="loginUrl" value="/user/login"/>  

    <!-- 登录成功后要跳转的连接(本例中此属性用不到，因为登录成功后的处理逻辑在LoginController里硬编码) -->  

    <!-- <property name="successUrl" value="/" ></property> -->  

    <!-- 用户访问未对其授权的资源时，所显示的连接 -->  

    <property name="unauthorizedUrl" value="/view/unauthorized.html"/>  

    <!-- Shiro连接约束配置