Spring Security ofrece muchos mecanismos de seguridad de gran alcance, pero no encaja correctamente en un entorno Java EE (EJB). Un problema es que Spring Security almacena SecurityContext en un objeto ThreadLocal que no es adecuado para clusters. Spring Security depende de los servicios (AOP por ejemplo) de Spring core que no están disponibles si el contenedor EJB administra el objeto. Y Spring Security necesita Spring core para conectarse, lo que me gustaría evitar ya que Java EE ya tiene mecanismos de inyección de dependencia.Marco como Spring Security para Java EE?
¿Existe un marco de seguridad a medida para Java EE? Me gustaría tener ACL o un mecanismo de roles más flexible, por ejemplo.
Cuando dices Java EE, ¿te refieres a la seguridad específica de los EJB? –
Sí, el objetivo de seguridad principal son los EJB, pero el marco también debería poder proteger servlets o servicios web. – deamon