Вы должны быть в состоянии выполнить аутентификацию JAAS (как обычное веб-приложение J2EE), которая установит принципы, связанные с субъектом. Контейнер автоматически гарантирует, что текущий рабочий поток связан с указанным субъектом. Субъект и его принципалы также распространяются на уровень обслуживания / бизнес, как и в случае с обычным сервлетом.
Возможно, также стоит определить функции безопасности веб-службы базового сервера приложений, поскольку он может предлагать больше возможностей, чем базовая функциональность аутентификации / дайджеста / формы, присутствующая в JAAS. Например, WebLogic Server допускает проверку подлинности клиентов веб-службы на основе сертификатов (с некоторой конфигурацией), что также может относиться к используемому вами серверу приложений. Как правило, функции безопасности контейнера будут опираться на JAAS и связанные с ним функции безопасности в J2EE 1.4, тем самым гарантируя, что функции безопасности J2EE, используемые в других разделах приложения, будут продолжать работать как положено.