下面來說一下如何在Web下使用Shiro。
在大部分Web開發環境下，都是使用Spring與Shiro進行整合，所以下面直接來講解Shiro與Spring整合的方式。

一、準備環境
(1)加入Spring和Shiro的jar包
首先在MyEclipse中新建一個Web工程：

然後在lib下加入Spring的相關jar包：

然後加入Shiro的相關jar包：

(2)配置Spring以及SpringMVC
接下來配置Spring：
首先在WEB-INF下的Web.xml中配置Spring的contextConfigLocation：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xmlns="http://java.sun.com/xml/ns/javaee" 
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" 
	id="WebApp_ID" version="3.0">
	
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:applicationContext.xml</param-value>
	</context-param>

	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

</web-app>
 

然後在src下新建applicationContext.xml檔案：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans.xsd">

</beans>
 

然後配置SpringMVC環境，在Web.xml新增SpringMVC的前端控制器DispatcherServlet：

<servlet>
	<servlet-name>spring</servlet-name>
	<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
	<load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
	<servlet-name>spring</servlet-name>
	<url-pattern>/</url-pattern>
</servlet-mapping>
 

然後在WEB-INF下新建一個SpringMVC的配置檔案，並加入SpringMVC的基本配置：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:mvc="http://www.springframework.org/schema/mvc"
	xmlns:context="http://www.springframework.org/schema/context"
	xsi:schemaLocation="http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-4.0.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-4.0.xsd">
	
	<context:component-scan base-package="com.test.shiro">
        </context:component-scan>
	
	<bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
		<property name="prefix" value="/"></property>
		<property name="suffix" value=".jsp"></property>
	</bean>
	
	<mvc:annotation-driven></mvc:annotation-driven>
	<mvc:default-servlet-handler/>

</beans>

其中加入包掃描、檢視前後綴、註解的處理器介面卡和對映器，以及基本的servletHandler。

然後在WebRoot下建立一個名為user的jsp頁面：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>USER</title>
  </head>
  <body>
    This is User page. <br>
  </body>
</html>

然後將Web專案部署在Tomcat中：

啟動專案，訪問之前新增的user頁面，如果訪問成功就可以看到相關頁面：

上面的jsp載入成功，證明我們的Spring和Spring MVC基本環境搭建成功。

(3)配置Shiro環境
接下來配置Shiro的開發環境：
首先在web.xml檔案中新增Shiro的核心過濾

<!-- 
1. 配置  Shiro 的 shiroFilter.  
2. DelegatingFilterProxy 實際上是 Filter 的一個代理物件. 預設情況下, Spring 會到 IOC 容器中查詢和 
<filter-name> 對應的 filter bean. 也可以通過 targetBeanName 的初始化引數來配置 filter bean 的 id. 
-->
<filter>
	<filter-name>shiroFilter</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	<init-param>
		<param-name>targetFilterLifecycle</param-name>
		<param-value>true</param-value>
	</init-param>
</filter>

<filter-mapping>
	<filter-name>shiroFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

然後在Spring的配置檔案applicationContext.xml下加入Shiro的配置，
由於檔案中的配置比較多，不過不用著急，我們一個一個新增並分析。
1.配置SecurityManager
首先配置的第一個是Shiro的核心元件SecurityManager，在該配置中配置了三個屬性，分別是
cacheManager、authenticator以及realms。之前提到過CacheManager為快取控制器，來管理
如使用者、角色、許可權等資訊的快取，而authenticator負責Subject認證，Realm為安全實體資料來源。

<!--1. 配置 SecurityManager-->     
<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
    <property name="cacheManager" ref="cacheManager"/>
    <property name="realm" ref="shiroRealm"/>
</bean>

上面我們暫時配置了cacheManager與realm(可以配置多個，這裡暫時配置一個)。authenticator
的配置在之後的總結中詳細講解。

2.配置 CacheManager
緊跟著下面就是cacheManager的配置，這裡需要使用第三方的快取API，如Redis或ehcache。這裡我們
使用的是ehcache，其jar包已經新增在lib中，在cacheManager的配置中指定cacheManagerConfigFile
的配置檔案為ehcache的配置檔案即可：

<!--  
2. 配置 CacheManager. 
2.1 需要加入 ehcache 的 jar 包及配置檔案. 
-->     
<bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
	<property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
</bean>

ehcache.xml配置檔案的內容在後面詳述，這裡先不詳細講解。

3.配置Realm 
然後配置緊跟著是Realm的配置，由於測試樣例目前不連線資料庫，所以這裡我們自定義一個Realm
配置：

<!-- 
	3. 配置 Realm 
	3.1 直接配置實現了 com.test.shiro.realms.ShiroRealm 介面的 bean
-->     
<bean id="jdbcRealm" class="com.test.shiro.realms.ShiroRealm"></bean>

裡面就是我們自定義的Realm資料來源，具體邏輯如下：

package com.test.shiro.realms;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.realm.Realm;
public class ShiroRealm implements Realm{
	@Override
	public AuthenticationInfo getAuthenticationInfo(AuthenticationToken arg0)
			throws AuthenticationException {
		return null;
	}
	@Override
	public String getName() {
		return null;
	}

	@Override
	public boolean supports(AuthenticationToken arg0) {
		return false;
	}
}

實現Realm資料來源類，必須繼承Realm提供的org.apache.shiro.realm.Realm介面，並實現
getAuthenticationInfo、getName以及supports方法(這裡主要講解框架的搭建，具體方法
細節在之後會詳細介紹)。

4.配置LifecycleBeanPostProcessor
然後配置LifecycleBeanPostProcessor(Bean生命週期過程處理器，可以自動來呼叫配置在Spring IOC容器中shiro bean的生命週期方法. )

<!--  
4. 配置 LifecycleBeanPostProcessor. 可以自動來呼叫配置在 Spring IOC 容器中 shiro bean 的生命週期方法. 
-->       
<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

5.啟用shiro 的註解
啟用IOC容器中使用shiro的註解。但必須在配置了LifecycleBeanPostProcessor之後才可以使用：    

<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
	  depends-on="lifecycleBeanPostProcessor"/>
<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
	<property name="securityManager" ref="securityManager"/>
</bean>

6.配置ShiroFilter
記得之前我們在web.xml中加入了Shiro的過濾器，名稱為“ShiroFilter”，而該bean就配置在
applicationContext.xml中：

<!--  
6. 配置 ShiroFilter. 
6.1 id 必須和 web.xml 檔案中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
若不一致, 則會丟擲: NoSuchBeanDefinitionException. 因為 Shiro 會來 IOC 容器中查詢和 <filter-name> 名字對應的 filter bean.
-->     
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	<property name="securityManager" ref="securityManager"/>
	<property name="loginUrl" value="/login.jsp"/>
	<property name="successUrl" value="/list.jsp"/>
	<property name="unauthorizedUrl" value="/unauthorized.jsp"/>
	<!--  
		配置哪些頁面需要受保護. 
		以及訪問這些頁面需要的許可權. 
		1). anon 可以被匿名訪問
		2). authc 必須認證(即登入)後才可能訪問的頁面. 
	-->	
       <property name="filterChainDefinitions">
		<value>
			/login.jsp = anon
			# everything else requires authentication:
			/** = authc
		</value>
	</property>
</bean>

在上面的配置中，其中securityManager就是最上面的配置對應的bean，而loginUrl、successUrl
以及unauthorizedUrl配置的是登入頁面、登入成功頁以及未授權頁的路徑，這裡我們分別在
WebRoot下新增這三個頁面：

下面的filterChainDefinitions表示的是配置哪些頁面需要受保護，以及訪問這些頁面需要的
許可權。說白了它就是代表一個過濾器的過濾資料集合。
在filterChainDefinitions中我們僅配置login.jsp頁面為可匿名訪問的頁面，其它所有頁面
都必須認證後才可訪問。

上面完整的Shiro基礎配置如下：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">


    <!--1. 配置 SecurityManager-->     
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="cacheManager" ref="cacheManager"/>
        <property name="realm" ref="shiroRealm"/>
    </bean>

    <!--  
    2. 配置 CacheManager. 
    2.1 需要加入 ehcache 的 jar 包及配置檔案. 
    -->     
    <bean id="cacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager">
        <property name="cacheManagerConfigFile" value="classpath:ehcache.xml"/> 
    </bean>


    <!-- 
    	3. 配置 Realm 
    	3.1 直接配置實現了 org.apache.shiro.realm.Realm 介面的 bean
    -->     
    <bean id="shiroRealm" class="com.test.shiro.realms.ShiroRealm"></bean>

    <!--  
    4. 配置 LifecycleBeanPostProcessor. 可以自定的來呼叫配置在 Spring IOC 容器中 shiro bean 的生命週期方法. 
    -->       
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

    <!--  
    5. 啟用 IOC 容器中使用 shiro 的註解. 但必須在配置了 LifecycleBeanPostProcessor 之後才可以使用. 
    -->     
    <bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
          depends-on="lifecycleBeanPostProcessor"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>

    <!-- 6. 配置 ShiroFilter. 
    6.1 id 必須和 web.xml 檔案中配置的 DelegatingFilterProxy 的 <filter-name> 一致.
       若不一致, 則會丟擲: NoSuchBeanDefinitionException. 因為 Shiro 會來 IOC 容器中查詢和 <filter-name> 名字對應的 filter bean.
    -->     
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager"/>
        <property name="loginUrl" value="/login.jsp"/>
        <property name="successUrl" value="/list.jsp"/>
        <property name="unauthorizedUrl" value="/unauthorized.jsp"/>
        <!--  
        	配置哪些頁面需要受保護. 
        	以及訪問這些頁面需要的許可權. 
        	1). anon 可以被匿名訪問
        	2). authc 必須認證(即登入)後才可能訪問的頁面. 
        -->
        <property name="filterChainDefinitions">
            <value>
                /login.jsp = anon
                # everything else requires authentication:
                /** = authc
            </value>
        </property>
    </bean>

</beans>

在上面的配置中，第二步配置中使用了ehcache，所以需要在src下新增名為"ehcache.xml"的配置檔案：

<ehcache>

    <diskStore path="java.io.tmpdir"/>
   
    <cache name="authorizationCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="authenticationCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <cache name="shiro-activeSessionCache"
           eternal="false"
           timeToIdleSeconds="3600"
           timeToLiveSeconds="0"
           overflowToDisk="false"
           statistics="true">
    </cache>

    <defaultCache
        maxElementsInMemory="10000"
        eternal="false"
        timeToIdleSeconds="120"
        timeToLiveSeconds="120"
        overflowToDisk="true"
        />

    <cache name="sampleCache1"
        maxElementsInMemory="10000"
        eternal="false"
        timeToIdleSeconds="300"
        timeToLiveSeconds="600"
        overflowToDisk="true"
        />

    <cache name="sampleCache2"
        maxElementsInMemory="1000"
        eternal="true"
        timeToIdleSeconds="0"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        /> 
</ehcache>

其中defaultCache是預設配置，其餘的是我們後面需要測試時使用的cache配置。

目前已經將Shiro所有的基礎配置編寫完畢，這裡儲存applicationContext.xml檔案，並重啟專案。

根據Shiro的shiroFilter中的filterChainDefinitions配置，只能訪問login.jsp頁面，訪問其它
頁面都應該被重定向到login.jsp頁面：

至此，一個基本的Spring與Shiro的整合的效果就出來了。關於配置方面，還有很多配置以及細節

沒有講解，在後面的總結中會一一拓展和講解。