Segurança: Spring Security vs Apache Shiro

Bom dia,

surgiu uma duvida, dei uma pesquisada e não consegui ver nenhuma diferença crucial entre as 2 tecnologias…

um sistema “pequeno” usando apenas JSF 2 e Hibernate/JPA 2…
onde os dados que serão manipulados no BD e por WS, são bem confidenciais…

qual seria a melhor opção de framework para segurança?

vi muitos falarem que o Shiro é mais facil de configurar, e o Security é mais ‘robusto’…
eu não me importo de tomar tempo configurando, over engineering, ou qualquer coisa do tipo que possa causar demorar no desenvolvimento…

o que eu preciso é o mais seguro possivel para um sistema desse porte…

alguem poderia me dar uma sugestão e explicar algum ponto forte (e que realmente seja importante) nos 2 frameworks?

atualmente minha ideia é usar o Spring Security mesmo (que já consegui configurar e rodou perfeitamente)…

Obrigado.

alguem? =[

Cara, estou no mesmo dilema. Pesquisei os dois e acho que vou de Apache Shiro.
Achei o Spring Security muito voltado para o desenvolvimento web, e muito amarrado.
O Shiro realmente é muito mais simples e sua arquitetura é clara e direta.
O que me preocupou no Shiro é a dependência de, praticamente, um único desenvolvedor, Les Hazlewood.
Existem muitas issues abertas no Jira, umas 110, mas o cara parece que não dá conta de resolve-las sozinho.
O Shiro anunciou a segurança de aplicações REST para breve, gostei disso e também gostei da possibilidade de segurança para aplicações não web.

Pessoal gostaria de saber se tiraram alguma conclusao.
Estou com muita dificuldade com o Spring Security por causa do CDI.
Valeu!