相對于ApacheShiro,SpringSecurity提供了更多的諸如LDAP、OAuth2.0、ACL、Kerberos、SAML、SSO、OpenID等諸多的安全認證、鑒權協議,可以按需引用。對認證/鑒權更加靈活,粒度更細。可以結合你自己的業務場景進行更加合理的定制化開發。在最新的SpringSecurity5.x中更是提供了響應式應用(reactiveapplication)提供了安全控制支持。從語言上來講,支持使用kotlin、groovy進行開發。SpringSecurity因為是利用了SpringIOC和AOP的特性而無法脫離Spring獨立存在。
而ApacheShiro可以獨立存在。但是JavaWeb領域Spring可以說是事實上的J2EE規范。使用Java技術棧很少能脫離Spring。也因為功能強大SpringSecurity被認為非常重,這是不對的。認真學習之后會發現其實也就是那么回事。兩種框架都是非常優秀的安全框架,根據實際需要做技術選型。
如果你使用微服務建議使用SpringSeucurity,比較簡單的應用可以使用Shiro。SpringSeucurity學習起來也不難,我出了一個從零開始的SpringSecurity教程,目前廣受好評,你可以到我個人博客felord.cn去免費獲取。