Spring Security ,Apache Shiro的对比及数据级权限实现

撒的阿坎努斯

如题。
 
  以前搞过一阵子的Spring security，现在看来，这个东西除了能和Spring更好的整合外，其它的没有什么太明显的优点。
 现在的SpringSecurity显得太笨重了。 一大堆的Filter层层过滤，一个简单的请求，最少得经过它的8个Filter左右，让人很不爽。以及一大堆配置，虽然提供了简化配置，但是哪有完全符合自己需求的东西，最后还是得自己慢慢研究文档和源码。另外，学习曲线也不低。
 最后，它的那个ACL方案纯粹是摆设（数据过滤在查询后、提供另外的几个表来维护权限数据，当数据量很大时，不太现实），我相信很少人会把它的那个方案应用到生产环境中。实际上运用Spring MVC的拦截器就能轻松的实现它绝大部分的功能。
  在InfoQ上看到一篇文章介绍了Apache-shiro：
http://www.infoq.com/cn/articles/apache-shiro
 
看上去感觉还不错，至少比Spring Security强（连Spring的官方都不用Spring Security，而用的Shiro），但是不知道如何才能实现数据级权限.有人说细粒度权限是和业务整合在一起的，无法实现通用。既然都提炼出了细粒度和权限这两个词，说明还是有共通的地方，目前国内关于Shiro的资料还很少，有了解的指导一下Shiro的学习及细粒度权限实现
 
  之前已经有人发过权限探讨的帖子了，感觉最后也没有讨论出什么结果，这个东西基本上在每个应用中都会出现的。再次发帖