L'approccio più comune utilizzato per l'autorizzazione che conosco è l'autorizzazione basata sui ruoli. Invece di memorizzare direttamente i diritti di accesso contro gli ID utente, si creano ruoli e si memorizzano i diritti di accesso contro di essi. Quindi assegna agli utenti i ruoli.
Anche se trovo il metodo basato sul ruolo abbastanza flessibile e facile da mantenere, sono comunque interessato a sapere se esistono metodi migliori per la memorizzazione dei dettagli dell'autorizzazione.
Sto utilizzando Spring Security per la protezione delle applicazioni Web JSF. Insieme alle soluzioni per Spring Security apprezzerei anche le soluzioni generali (non specifiche per un particolare framework di sicurezza).