Spring Security ,Apache Shiro的对比及数据级权限实现

springsecurity 看的有点累啊 因为没有去使用它  现在还停留在 URL 权限拦截 和 RBAC 的权限模型的冲突上 ，Shiro 没听过 可以了解下

至于那些 数据级别的 业务逻辑相关的， 个人觉得还是不纳入权限 概念 ，规则引擎如何

确实啊，spring security确实太臃肿了，一个权限过滤，还不如自己写个filter

关于shiro中字符串权限的验证应用，我一直没有弄明白，shiro所谓的三级验证是如何与数据库或者说权限模型进行交互的。我看shiro源码中的说明是资源：操作：实例；要求“实例”必须为资源的系统id号。
那么，如果对于一个任务管理系统来说，我的角色有员工、组长、部门经理。对于“任务”这个资源来讲的话，员工只能看到自己填写的任务，组长能看到组内员工的任务，部门经理能看到部门内所有人的任务。
那么，这时的权限验证应该如何完成呢，比如组长这个角色是如何关联到其组内员工任务的id呢？

初步看了下，shiro使用的确比较简单，但感觉功能还不够强大