Лучшая практика проверки подлинности Vaadin

Меня интересует лучшая практика аутентификации в Vaadin. Я думаю, что здесь есть в основном два варианта:

ThreadLocal (может вызвать нехватку памяти, может иметь один и тот же поток для разных пользователей)
Spring Безопасность + интеграция Vaadin (кажется, слишком много)

Какой из них вы предпочитаете и почему? (Проблемы безопасности, простота разработки, другие факторы)

В Vaadin существует множество способов аутентификации.

Проверка подлинности на основе Vaadin. Если вы используете Vaadin 6, попробуйте https://vaadin.com/book/vaadin6/-/page/components.loginform.html. Для Vaadin 7 вы можете использовать Addon https://vaadin.com/directory#addon/loginform (очень легко реализовать)
Добавить значение в пользовательский сеанс и проверить это значение в методе init(). (также легко)
Обычная проверка подлинности (пример tomcat - http://www.avajava.com/tutorials/lessons/how-do-i-use-basic-authentication-with-tomcat.html) (иногда это очень полезно для клиента, но обычно вы получаете конкретную проблему с контейнером.)
Spring Безопасность Vaadin 7.1 + Spring - Интеграция безопасности на Tomcat Server (люди любят Spring)
Apache shiro http://shiro.apache.org/ (никогда не пытайтесь, но это был один из возможных способов)

Я рекомендую вам выбрать 1 или 2, если вы хотите сделать это легко, или 4, если вам нужна система обеспечения безопасности.

Не совсем на ваш вопрос, но два упоминания:

Новый Persona for Vaadin "add-on"
Использует перспективный Система аутентификации личности, разработанная Mozilla. Лейф Астранд. Новый, еще на экспериментальной стадии.
ОБНОВЛЕНИЕ Mozilla отказался от этого проекта.
Stormpath
Компания, специализирующаяся на предоставлении API-интерфейса для управления входами и обслуживания для разработчиков. Есть и другие компании, которые, похоже, спотыкаются в этой новой области аутентификации как услуга, но Stormpath - единственный, кого я знаю, посвященный этому.

Я не использовал ни одного из них, но они включены в список дел.