Я не уверен, что 100% лучший способ справиться с этим, но у меня была похожая проблема. Я поделюсь им, если вы обнаружите, что это применимо. (Я не знаком с resteasy) По сути, существовал веб-сервис REST, к которому подключены наши мобильные платформы. Меня попросили отобразить некоторые данные из мобильных сервисов в нашем веб-приложении с проверкой подлинности с помощью форм.
Решение состояло в том, чтобы взять cookie-файл FormsAuthentication и добавить его в заголовок запроса, отправляемого службе, и служба расшифровывает этот cookie, чтобы получить пользователя, который отправляет запрос.
Это подразумевает 2 предположения: 1. что и ваша служба, и ваше веб-приложение используют одни и те же ключи шифрования и 2. что после входа в систему с помощью FormsAuth вашей службе не требуется снова полностью аутентифицировать учетные данные пользователей. Таким образом, служба просто говорит: «Могу ли я расшифровать токен? Является ли это действительным пользователем?»