Spring Security提供了许多强大的安全机制,但它不适合Java EE(EJB)环境.一个问题是Spring Security将SecurityContext存储在不适合集群的ThreadLocal对象中.Spring Security依赖于Spring核心的服务(例如AOP),如果EJB容器管理对象,这些服务是不可用的.Spring Security需要Spring核心来连接自己,因为Java EE已经有了依赖注入机制,所以我想避免使用它.
是否有为Java EE量身定制的安全框架?我想拥有ACL或更灵活的角色机制.