shop/platform-common/src/main/resources/platform-shiro.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:util="http://www.springframework.org/schema/util"
	   xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-4.2.xsd http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd">

	<!-- 继承自AuthorizingRealm的自定义Realm,即指定Shiro验证用户登录的类为自定义的UserRealm.java -->
	<bean id="userRealm" class="com.platform.shiro.UserRealm"/>

    <bean id="cluterShiroSessionDao" class="com.platform.shiro.CluterShiroSessionDao"/>

	<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
		<!-- 设置session过期时间为1小时(单位：毫秒)，默认为30分钟 -->
		<property name="globalSessionTimeout" value="3600000"></property>
		<property name="sessionValidationSchedulerEnabled" value="true"></property>
		<property name="sessionIdUrlRewritingEnabled" value="false"></property>
        <property name="sessionDAO" ref="cluterShiroSessionDao"/>
	</bean>

	<!-- Shiro默认会使用Servlet容器的Session,可通过sessionMode属性来指定使用Shiro原生Session -->
	<!-- 即<property name="sessionMode" value="native"/>,详细说明见官方文档 -->
	<!-- 这里主要是设置自定义的单Realm应用,若有多个Realm,可使用'realms'属性代替 -->
	<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
		<property name="sessionManager" ref="sessionManager"></property>
	    <property name="realm" ref="userRealm"/>
	</bean>
	<bean id="JwtFilter" class="com.platform.shiro.jwt.JwtFilter">
	</bean>
	<!-- Shiro主过滤器本身功能十分强大,其强大之处就在于它支持任何基于URL路径表达式的、自定义的过滤器的执行 -->
	<!-- Web应用中,Shiro可控制的Web请求必须经过Shiro主过滤器的拦截,Shiro对基于Spring的Web应用提供了完美的支持 -->
	<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
	    <!-- Shiro的核心安全接口,这个属性是必须的 -->
	    <property name="securityManager" ref="securityManager"/>
	    <!-- 要求登录时的链接(可根据项目的URL进行替换),非必须的属性,默认会自动寻找Web工程根目录下的"/login.html"页面 -->
		<property name="filters">
			<util:map>
				<!-- key 定义 Filter的别名，而 value-ref 对应上面bean的id -->
				<entry key="jwt" value-ref="JwtFilter"/>
			</util:map>
		</property>
		<property name="loginUrl" value="/loginFilet"/>
		<!-- 登录成功后要跳转的连接 -->
		<property name="successUrl" value="/index.html"/>
	    <!-- 用户访问未对其授权的资源时,所显示的连接 -->
	    <!-- 若想更明显的测试此属性可以修改它的值,如unauthor.jsp,然后用[玄玉]登录后访问/admin/listUser.jsp就看见浏览器会显示unauthor.jsp -->
	    <property name="unauthorizedUrl" value="/"/>
	    <!-- Shiro连接约束配置,即过滤链的定义 -->
	    <!-- 此处可配合我的这篇文章来理解各个过滤连的作用http://blog.csdn.net/jadyer/article/details/12172839 -->
	    <!-- 下面value值的第一个'/'代表的路径是相对于HttpServletRequest.getContextPath()的值来的 -->
	    <!-- anon：它对应的过滤器里面是空的,什么都没做,这里.do和.jsp后面的*表示参数,比方说login.jsp?main这种 -->
	    <!-- authc：该过滤器下的页面必须验证后才能访问,它是Shiro内置的一个拦截器org.apache.shiro.web.filter.authc.FormAuthenticationFilter -->
	    <property name="filterChainDefinitions">
	        <value>
	        	/statics/**=anon
				/api/**=anon
				/4dkankan/shop/notify=anon
				/api/**=noSessionCreation
	        	/login.html=anon
	        	/sys/login=anon
	        	/sys/authCode=anon
				/sys/user/infoAnon/**=anon
	        	/captcha.jpg=anon
				/goods/getGoodsListByScene=anon
				/goods/getCategoryListByScene=anon
				/goods/getGoods=anon
				/goods/save=anon
				/app/census/getSceneCensus=anon
				/app/census/addGoodsQueryNum=anon
				/goods/getGoodsDetail=anon
	        	/**=jwt
	        </value>
	    </property>
	</bean>

	<bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

	<!-- AOP式方法级权限检查  -->
	<bean class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator" depends-on="lifecycleBeanPostProcessor">
		<property name="proxyTargetClass" value="true" />
	</bean>
	<bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
    	<property name="securityManager" ref="securityManager"/>
	</bean>
</beans>