JAAS,Spring Security或Apache Shiro

关于java中安全框架的一个简单问题.

到目前为止,JAAS一直是我的框架.是的人抱怨它很难设置,它需要挂钩你的底层系统,但它确实有它的工作,并有额外的作为规范的奖励.

这就是说我最近一直在研究Java中的其他安全框架,这两个似乎最受网络关注的是:

1 - Spring Security

Spring Security似乎非常受欢迎,但我发现它有点令人费解.

2 - Apache Shiro

Apache Shiro似乎比Spring Security更直接,但似乎缺少一些文档.

所以我的问题是,在上面提到的框架中,人们认为我应该花时间学习Spring Security或Apache Shiro吗？

(或者我应该坚持使用JAAS？)

如果您想在Web /非Web环境的混合中使用Shiro,那么Shiro非常棒.它是高度可定制的.我们使用它来进行多租户授权,我们也有一些使用shiro实现的自定义权限要求.

您还可以在shiro中创建几乎每个类的spring bean,因为代码设置得非常干净,并且非常适用于spring注入(或者我猜的任何其他依赖注入框架).

正如开发人员所提到的,缺乏文档.我们做了很多阅读源代码以获得我们的修复,因此如果您想要进行更高级的配置,请注意您必须深入了解源代码.

对于简单的设置,shiro的标准文档将在大多数情况下帮助您.

Imho春天安全很好,但它没有shiro提供的灵活性.