То, что вы пытаетесь заархивировать с помощью своего ресурса и сервера авторизации, выглядит как rfc6749 Implicit Grant .Широ не имеет встроенной реализации фильтров для чего-то подобного.Возможно, вам придется написать свой собственный Filter, Realm, Token, Info, Matcher и Principal для этого.
В качестве альтернативы на GitHub используется пример oAuth2 Server и Client с использованиемШиро и реализация упомянутых классов.Она устарела, но все еще дает основную идею о том, что вам нужно делать.
Если вы не любите следовать спецификации rfc6749 , вы можете просто реализовать AccessControlFilter и перенаправьте пользователя на сервер авторизации, если в заголовке Authorization запроса нет носителя.Уже есть учебник о том, как этого добиться здесь .В частности, вы должны взглянуть на код onAccessDenied из примеров JWTVerifyingFilter, так как это метод, при котором ваш редирект должен иметь место.