Стандартными способами аутентификации для JSP приложения, согласно документации, являются basic и form based.

В первом случае логин-пароль хранятся в конфиг файле, и даже формочку здля ввода логина-пароля создает браузер.
Быстро, грязно, совершенно неприемлемо - ведь даже пароль пользователб сменить не может.

Хорошо.

Идет изучать второй метод: Form Based.

И с удивление узнаем, что да - формочку логина мы создаем сами, с намертво зашитыми полями j_username, j_password и методом j_security_check.

А сверяет пароли опять сам бекенд, и опять нет возможности пользователю самому сменить пароль.

В более продвинутых случаях наверняка пароли хранятся в LDAP и меняются через него, что вполне нормально.

А как реализовать аутентификацию для простого веб-приложения? Подскажите какие методы применяются на практике, куда копать.

Да, понял. Оказалось все немного посложнее чем в ASP.

А в реальной жизни что сейчас модно-кузяво? JSP аутентификация, или EJB или Spring?
Вы что используете?