Apache Shiro и безопасность Java для новичков

Я почти ничего не знаю о модели безопасности Java, включая конфигурацию XML, настройку политики, любые компоненты инфраструктуры безопасности, инструменты (такие как хранилище ключей и т. Д.) И все, что между ними.

Хотя я понимаю, что в конечном итоге для меня станет важным закатать рукава и углубленно изучить безопасность Java, мне было интересно, поможет ли использование чего-то вроде Apache Shiro немного облегчить переход. Таким образом, у меня есть несколько проблем с этим.

Является ли Shiro, по сути, «универсальной оболочкой под ключ» для реализации безопасности в приложениях Java (и, в частности, в веб-приложениях). Это означает, что можно настроить Shiro с их проектом и, по сути, настроить его, сделав все те же настройки, параметры политики и т. Д.что без него пришлось бы обходиться "вручную" (по частям)? Если нет, то какие недостатки есть у Широ (какие важные дела Широ не могут сделать для меня, которые жизненно важны)? Есть ли какие-то серьезные уязвимости, которые Широ вообще не устраняет?

В том же духе я слышал хорошие отзывы о фреймворке OWASP ESAPI. У кого-нибудь есть опыт работы с обоими? Можно ли настроить ESAPI и Shiro для совместной работы или это просто бинарная сделка типа «то или иное»?

Заранее благодарим!