这实际上取决于您要施加的安全级别。您可以仅使用基于简单的基于web.xml的访问控制以及领域，用户名和密码。

Web服务的安全性是另一回事。来自Spring
Security常见问题解答
：

Web应用程序容易受到各种您应该熟悉的攻击的攻击，最好在开始开发之前就进行攻击，因此您可以从一开始就在设计和编写代码时就牢记在心。请访问OWASP网站，以获取有关Web应用程序开发人员面临的主要问题的信息，以及可以针对他们采取的对策。

Spring Security当然是一个选择。在大多数情况下（当今）它​​很容易与Spring集成，并具有灵活的身份验证模块。

您还应该考虑Apache Shiro。与Spring
Security问题的比较已经得到答案-Shiro与SpringSecurity的比较，并且Shiro也与Spring
很好地集成在一起。

我不认为当前形式的问题有明确的答案，但我希望这对所有人都有帮助。