Когда переходить от безопасности, управляемой контейнером, к альтернативам вроде Apache Shiro, Spring Security?

Я пытаюсь защитить свое приложение, созданное с использованием JSF2.0.

Я в замешательстве, когда люди выбирают альтернативы безопасности, такие как Shiro, Spring Security или owasp's esapi, оставляя позади безопасность, управляемую контейнером. Просмотрев некоторые связанные вопросы на Stack Overflow, я понял, что в прошлом разработчики JSF предпочитали безопасность на основе контейнеров. Но мне также настоятельно рекомендовали использовать Apache Shiro. Я новичок в вопросах безопасности и не представляю, какие могут быть соответствующие проблемы и как их решать. Поэтому я ищу что-то, что решает большинство вопросов безопасности с помощью настроек по умолчанию/самостоятельно.

С точки зрения требований моего приложения, у меня есть социальное приложение, где пользователи с различными ролями имеют доступ к различным наборам страниц и могут использовать различные уровни функциональности на этих страницах в зависимости от их ролей.

В таком случае, что, по вашему мнению, может быть хорошим вариантом для меня?

Лично меня убедили выбрать Shiro, поскольку он прост в использовании и заботится о большинстве вещей для новичков.