Я пытаюсь защитить свое приложение, созданное с использованием JSF2.0.

Меня смущает вопрос, когда люди выбирают альтернативы безопасности, такие как Shiro, Spring Security или esapi owasp, оставляя позади управляемую контейнером безопасность. Увидев некоторые изсвязанные вопросы на переполнении стека, где я понял, что в прошлом разработчики JSF предпочитали безопасность на основе контейнеров. Но я также настоятельно рекомендовал использовать Apache Shiro. Я новичок в вопросах безопасности и не знаю, какие могут быть соответствующие проблемы и как их решать. Поэтому я ищу что-то, что решает большинство проблем безопасности через свои настройки по умолчанию / самостоятельно.

С точки зрения требований моего приложения, у меня есть социальное приложение, в котором пользователи с разными ролями имеют доступ к разному набору страниц и могут использовать разные уровни функциональности на этих страницах в зависимости от их ролей.

В таком случае, что, по-твоему, может быть хорошим вариантом для меня?

Я лично был убежден, что выбрал Shiro, поскольку он прост в использовании и заботится о большинстве вещей для новичка.