網上自定義Filter的實現很多，這裡我提供一種Springboot在程式碼中的實現。

Shiro提供的Filter我這裡不一一介紹了，一般基於web會話的都是使用authc(這是FormAuthenticationFilter)。根據我無狀態的登陸需求，選擇了AccessControlFilter，網上也有說這個是最被廣泛使用的，具體還是看自己需求吧。

Filter程式碼：

/**
 * @author Created by pangkunkun on 2017/11/18.
 */
public class MyAccessControlFilter extends AccessControlFilter
 
 {

    private static final Logger log= LoggerFactory.getLogger(MyAccessControlFilter.class);


    /**
     *
     * 表示是否允許訪問；mappedValue就是[urls]配置中攔截器引數部分，如果允許訪問返回true，否則false；
     * (感覺這裡應該是對白名單（不需要登入的介面）放行的)
     * 如果isAccessAllowed返回true則onAccessDenied方法不會繼續執行
     * 這裡可以用來判斷一些不被通過的連結（個人備註）
     * * 表示是否允許訪問 ，如果允許訪問返回true，否則false；
     * @param
 
 servletRequest
     * @param servletResponse
     * @param object 表示寫在攔截器中括號裡面的字串 mappedValue 就是 [urls] 配置中攔截器引數部分
     * @return
     * @throws Exception
     * */
    @Override
    public boolean isAccessAllowed(ServletRequest servletRequest, ServletResponse servletResponse, Object object) throws Exception{
//        Subject subject = getSubject(servletRequest,servletResponse);
 

//        String url = getPathWithinApplication(servletRequest);
//        log.info("當前使用者正在訪問的 url => " + url);
//        log.info("subject.isPermitted(url);"+subject.isPermitted(url));
        return false;
    }

    /**
     * 表示當訪問拒絕時是否已經處理了；如果返回true表示需要繼續處理；如果返回false表示該攔截器例項已經處理了，將直接返回即可。
     * onAccessDenied是否執行取決於isAccessAllowed的值，如果返回true則onAccessDenied不會執行；如果返回false，執行onAccessDenied
     * 如果onAccessDenied也返回false，則直接返回，不會進入請求的方法（只有isAccessAllowed和onAccessDenied的情況下）
     * */
    @Override
    public boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception{
        System.out.println("onAccessDenied");
        String username=request.getParameter(Constant.CRS_KEY);
        String signature=request.getParameter(Constant.SIGNATURE);

        String type=request.getParameter("type");

        //TODO 通過其它引數驗證signature的正確性
        String digestValue=MD5Utils.MD5SendParame(signature);

        MyUsernamePasswordToken token=new MyUsernamePasswordToken(username,type, digestValue);

        Subject subject= SecurityUtils.getSubject();
        try {
            subject.login(token);
        }catch (Exception e){
            log.info("登陸失敗");
            log.info(e.getMessage());
            onLoginFail(response);
            return false;
        }
        log.info("登陸成功");
        return true;
    }

繼承這個filter 要實現兩個方法，每個方法我都有給出解釋。

isAccessAllowed這裡，根據從網上找的實現，我感覺這個是類似白名單被放行的。如果有些特殊的url不需要登入，可以直接在這裡通過，或者做其它的判斷。當然，這裡也可以砸Shiro配置中直接把相應的方法對應的filter欄設定成none，同樣不會經過這裡。

onAccessDenied是我主要邏輯功能處理的模組。在這裡主要是UsernamePasswordToken這塊，生成token物件後使用subject進行登入，以便後邊方法中許可權/角色的驗證。

將自定義filter整合進shiro配置：

@Bean
    public ShiroFilterFactoryBean shirFilter(SecurityManager securityManager){
        log.info("ShiroConfiguration.shirFilter()");
        ShiroFilterFactoryBean shiroFilterFactoryBean  = new ShiroFilterFactoryBean();

        // 必須設定 SecurityManager
        shiroFilterFactoryBean.setSecurityManager(securityManager);
        //自定義攔截器
        Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
        filtersMap.put("myAccessControlFilter", new MyAccessControlFilter());
        shiroFilterFactoryBean.setFilters(filtersMap);

        //攔截器.
        Map<String,String> filterChainDefinitionMap = new LinkedHashMap<String,String>();

        filterChainDefinitionMap.put("/createPermission", "anon");
        filterChainDefinitionMap.put("/**", "myAccessControlFilter");


        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);
        return shiroFilterFactoryBean;
    }

        //自定義攔截器
        Map<String, Filter> filtersMap = new LinkedHashMap<String, Filter>();
        filtersMap.put("myAccessControlFilter", new MyAccessControlFilter());
        shiroFilterFactoryBean.setFilters(filtersMap);

這塊程式碼是將自定義的攔截器設定進shiro的filterchain中。

filterChainDefinitionMap.put("/**", "myAccessControlFilter");

這裡是設定使用自定義攔截器的url。我這裡設定的是，如果沒有其他攔截器定義的，都有走這個自定義的攔截器。