Apache Shiro是一款Java 安全框架，可以用於完成認證、授權、加密、會話管理、與Web整合、快取等功能。根據官方文件，我這裡列舉出兩種常用的配置方式，一是ini檔案配置，二是spring xml檔案的配置方式。
二者的配置，基本都是針對Shiro的以下幾個常用元件：securityManager，cachManager,Realm,以及對應的連結攔截規則（urls）。
1. shiro.ini檔案配置方式
我所用的是IDEA環境，在resources目錄下新建config目錄，用於存放相關配置檔案，這裡的Shiro.ini 檔案也放在下面。你也可以放在你自己的目錄，只不過要在web.xml指明配置檔案的路徑（預設為classpath下shiro.ini檔案）。
shiro.ini檔案的基本內容：這裡的[urls]下anon代表對應連結不需要使用者登入以及許可權即可訪問，authc代表需要使用者登入才可以訪問，其他標籤可檢視官方文件，在之後的學習過程中，根據例項再續寫。

[main]
cacheManager = org.apache.shiro.cache.MemoryConstrainedCacheManager
securityManager.cacheManager = $cacheManager

myShiroRealm = com.song.shiro.realm.MyRealm
myShiroRealm.cacheManager = $cacheManager

securityManager.realm = $myShiroRealm

securityManager.rememberMeManager.cipherKey=false

shiro.loginUrl
 
 = /admin/login
shiro.successUrl = /admin/success

[urls]
/admin/login = anon
/admin/success = authc
/other/index = authc
/logout = logout

對應地，在web.xml中配置檔案載入監聽器及對應的Shiro攔截器配置為：

  <context-param>
    <param-name>shiroConfigLocations</param-name>
    <param-value>classpath:config/shiro.ini</param-value
 
>
  </context-param>
  <listener>
    <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class>
  </listener>
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.apache.shiro.web.servlet.ShiroFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
  </filter-mapping>

2. spring xml檔案配置方式：
spring-shiro.xml檔案內容：

    <?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd"
       default-lazy-init="true">

    <description>Shiro Configuration</description>

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/admin/index" />
        <property name="successUrl" value="/admin/success" />
        <property name="unauthorizedUrl" value="/error" />
        <property name="filterChainDefinitions">
            <value>
                /admin/login = anon
                /admin/success = authc
                /other/index = authc
                /logout = logout
                /** = anon
            </value>
        </property>
    </bean>
    <!-- 使用者授權資訊Cache -->
    <bean id="cacheManager" class="org.apache.shiro.cache.MemoryConstrainedCacheManager" />

    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="myRealm"/>
        <property name="cacheManager" ref="cacheManager" />
    </bean>
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!-- Define the Shiro Realm implementation you want to use to connect to your back-end -->
    <!-- security datasource: -->
    <bean id="myRealm" class="com.song.shiro.realm.MyRealm">
        <property name="cacheManager" ref="cacheManager" />
    </bean>

    <!-- Enable Shiro Annotations for Spring-configured beans.  Only run after -->
    <!-- the lifecycleBeanProcessor has run: -->
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

</beans>

對應地，web.xml中載入監聽器以及Shiro過濾器的配置如下：

  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:config/applicationContext.xml,classpath:config/spring-shiro1.xml</param-value>
  </context-param>
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
  <filter>
    <filter-name>shiroFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <init-param>
      <param-name>targetFilterLifecycle</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
    <filter-mapping>
    <filter-name>shiroFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>ERROR</dispatcher>
  </filter-mapping>

3. 說明
以上兩種方式給出的配置，一般來說，對於實際web工程，只需要改動ini中的[urls]部分或者spring-xml中的shiroFilter配置部分。即定義web資源對應的操作控制權限。具體的語法以及分類，在接下來的具體實踐中，再根據例項說明。
另外，配置檔案中關於Realm的配置中時使用的MyRealm,這個是自己寫的Realm，用於提供使用者名稱稱密碼、角色、許可權等封裝資訊的介面，以下是測試用例中的具體的實現（來源於網路，測試通過），其具體呼叫系統呼叫Shiro使用者登入介面（subject.login(user)）時觸發：

/**
 * Created by Song on 2016/12/27.
 */
public class MyRealm extends AuthorizingRealm {
    //這裡因為沒有呼叫後臺，直接預設只有一個使用者("spf"，"123456")
    private static final String USER_NAME = "spf";
    private static final String PASSWORD = "123456";

    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Set<String> roleNames = new HashSet<String>();
        Set<String> permissions = new HashSet<String>();
        roleNames.add("admin");//新增角色
        permissions.add("read");  //新增許可權
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo(roleNames);
        info.setStringPermissions(permissions);
        return info;
    }

    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken token = (UsernamePasswordToken) authenticationToken;
        if(token.getUsername().equals(USER_NAME)){
            return new SimpleAuthenticationInfo(USER_NAME, MD5Util.MD5(PASSWORD), getName());
        }else{
            throw new AuthenticationException();
        }
    }
}

測試中用到的login.jsp頁面（登入框）：這裡直接通過action提交表單，便於後臺直接跳轉頁面，當然你也可以採用js Ajax提交請求，這樣的話，就只能通過js根據返回的資料體進行頁面跳轉。

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<html>
<head>
    <script typet="text/javascript" src="http://libs.baidu.com/jquery/1.9.1/jquery.min.js"></script>
</head>
<body>
<form action="<%=request.getContextPath()%>/admin/checkLogin">
    <input type="text" name="username" ><br><br>
    <input type="password" name="password"><br><br>
    <input type="checkbox" name="rememberMe" value="true"/>Remember Me?<br>
    <button type="submit" id="loginbtn">登入</button>
</form>
</body>

對應的/admin/checkLogin使用者登入驗證程式碼如下：

    /**
     * 驗證使用者名稱和密碼
     * @param  username,String password
     * @return
     */
    @RequestMapping(value="/checkLogin")
    public String checkLogin(String username, String password, ServletRequest request) {
        Map<String, Object> result = new HashMap<String, Object>();
        try{
            UsernamePasswordToken token = new UsernamePasswordToken(username, MD5Util.MD5(password));
            Subject currentUser = SecurityUtils.getSubject();
            if (!currentUser.isAuthenticated()){
                //使用shiro來驗證
                token.setRememberMe(true);
                currentUser.login(token);//驗證角色和許可權
                //獲取本來要訪問的網址uri
                String uri = WebUtils.getSavedRequest(request).getRequestUrl();
                //去掉工程名shiros
                if(uri.split("/shiros").length>1)
                    return "redirect:"+uri.split("/shiros")[1];
            }
        }catch(Exception e){
            e.printStackTrace();
        }
        return "redirect:/admin/success";
    }