padrões para login

pessoal boa tarde, eu sempre fiz login para intranet,ou seja, nunca precisei me preocupar muito com seguranca, tinha minha tabela de usuarios com senha criptografada e só, porem agora terei q colocar um sistema na internet, eu comecei a procurar sobre controle de seguranca e senha e achei o JAAS, primeira pergunta ele ainda é o padrão ainda é utilizado ? Se for aonde salvos os usuarios no banco ou arquivos ? se tiver outros padroes quais ?

eu estou usando o Spring Security

http://static.springsource.org/spring-security/site/

Spring Security é fácil de adicionar ao projeto, têm este tutorial do Yorgan bem legal.
http://www.guj.com.br/posts/list/217361.java
[]s