本文分析了shiro-web的漏洞，指出浏览器在处理路径时未有效过滤，导致可通过篡改URL实现权限绕过。建议对含有../的路径进行规范化处理，以提高安全性。

shiro-web是shiro-core的包装器，通过Filter接口与Tomcat交互，实现请求级别的主体管理。它与shiro-core解耦，使用FilterChain管理过滤器，支持自定义过滤器，确保灵活性与可扩展性。