shiro框架校验 诡异的问题

https://img.mukewang.com/5cb9715f0001e30108000392.jpg

为什么冒号 后面的随便改都可以检验通过?

一只斗牛犬
浏览 421回答 2
2回答

慕森王

用户是否已经给了sys的授权?如果给了的话sys:role:editsys:555都可以被认为是可以通过授权验证的sys可以等同于sys:*shrio不会来验证资源是否存在的。给shiro输入授权资源列表(表达式)shiro跟你输入的资源列表,在根据你需要验证的表达式,来判断是否通过授权验证。

慕尼黑5688855

不行吧... 自定义实现realm的时候会把用户具有的角色和权限字符串查询出来.你看看的realm中是怎样定义的.
打开App,查看更多内容
随时随地看视频慕课网APP

相关分类

Java