Структура безопасности Java высокого уровня

Какую структуру безопасности вы используете в своих проектах Java?

Я использовал Spring Security и Apache Shiro, и они оба выглядят незрелыми.

Недостатки Spring Security:

1. нет встроенной поддержки разрешений ;
2. нет возможности явно использовать в коде Java (иногда это необходимо);
3. слишком много внимания уделяется классическим (не AJAX) веб-приложениям.

Недостатки Apache Shiro:

1. ошибки в финальной версии (например, проблема с интеграцией Spring);
2. нет поддержки OpenID и некоторых других широко используемых технологий; Сообщается о
3. проблемах с производительностью.

Также отсутствует документация для них обоих.

Возможно, большинство реальных проектов разработать собственные структуры безопасности?