В моем случае я генерирую уникальный токен аутентификации для пользователя, который успешно прошел аутентификацию. Каждый раз, когда пользователю необходимо вызвать какие-либо веб-службы, ему необходимо передать токен аутентификации.
Мой токен аутентификации сгенерирован, примерно так: -
Date creationDate = new Date();
String key = UUID.randomUUID().toString().toUpperCase() + "|" + userName + "|" + creationDate.getTime();
String authenticationToken = ... // encrypt key with Jasypt
Я добавил дату создания, потому что она позволяет мне проверять время жизни. Каждый раз, когда пользователь вызывает любой веб-сервис, я проверяю продолжительность простоя, используя дату создания. Если продолжительность простоя составляет менее 30 минут, я сбрасываю продолжительность простоя обратно на ноль и разрешаю пользователю запускать веб-сервис. Однако, если пользователь бездействует более 30 минут, я считаю токен аутентификации недействительным, и он должен повторно пройти аутентификацию, чтобы получить новый токен.