Tomcat と postgres にデプロイされる GWT+hibernate+spring Web アプリを構築しています。http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQとhttp://www.owasp.org/index.php/Hashing_Java#Complete_Java_Sampleを見ると、 User テーブルと役割テーブル (最初は 4 ~ 5 の役割)。
アプリのさまざまなレイヤーは、現在ログインしているユーザーの情報 (loginId、ロケールなど) にアクセスする必要があるため、各 Http 要求を認証し、さまざまなユーザー属性を保持する ThreadLocal RequestContext を作成する AuthenticationFilter を追加することを考えています。
また、sessionIds と loginIds の ConcurrentHashMap を格納する AuthCache を用意することも考えています。AuthenticationFilter は認証に AuthCache を使用します。
Spring セキュリティと Apache Shiro ( http://incubator.apache.org/projects/shiro.html ) がおそらくより良い方法であることは理解していますが、これを行う時間がほとんどないため、今はスキップします。
これを行うためのより良い方法があるかどうか知りたいですか?私の実装に多くの穴がないように、これを正しく行う既存のコードはありますか?