Shiro的URL路徑表示式為Ant格式,萬用字元*無法匹配路徑,導致訪問/hello會進行許可權判斷,但如果訪問的是/hello/,那麼將無法正確匹配URL,直接放行。而spring中的/hello和/hello/形式的URL訪問的資源是一樣的,從而實現了許可權繞過。
Shiro的URL路徑表示式為Ant格式,萬用字元*無法匹配路徑,導致訪問/hello會進行許可權判斷,但如果訪問的是/hello/,那麼將無法正確匹配URL,直接放行。而spring中的/hello和/hello/形式的URL訪問的資源是一樣的,從而實現了許可權繞過。