在2008年加入Apache软件基金会之前，Shiro已经5岁了，之前它被称为JSecurity项目，始于2003年初。当时，对于Java 应用开发人员而言，没有太多的通用安全替代方案 - 我们被Java认证/授权服务（或称为JAAS）紧紧套牢了。JAAS有太多的缺点 - 尽管它的认证功能尚可忍受，但授权方面却显得拙劣，用起来令人沮丧。此外，JAAS跟虚拟机层面的安全问题关系非常紧密，如判断JVM中是否允许装入一个 类。作为应用开发者，我更关心应用最终用户能做什么，而不是我的代码在JVM中能做什么。

由于当时正从事应用开发，需要一个干净、容器无关的会话机制。在当时，“这场游戏”中唯一可用的会话是HttpSessions，它需要Web 容器；或是EJB 2.1里的有状态会话Bean，这又要EJB容器。而想要的一个与容器脱钩、可用于任何环境中的会话。

最后就是加密问题。有时，我们需要保证数据安全，但是Java密码架构（JavaCryptography Architecture）让人难以理解，除非你是密码学专家。API里到处都是CheckedException，用起来很麻烦。需要一个干净、开箱即用的解决方案，可以在需要时方便地对数据加密/解密。

于是，纵观2003年初的安全状况，你会很快意识到还没有一个大一统的框架满足所有上述需求。有鉴于此，JSecurity（即之后的Apache Shiro）诞生了。