خب اون لینکی که دادم هم دقیقا همینکارو کرده.

یعنی وقتی کاربری درخواستی فرستاد از توی http header ها username و password رو چک میکنه.
اگر username و password توی header وجود داشت، صحتشون رو چک میکنی و بعد به کاربر جوابشو میدی... اگر هم وجود نداشت که یا جوابشو نمیدی یا کلا بلاکش میکنی ...

یعنی تو این قسمت :



if (username.equals("mkyong") && password.equals("password")) {

    return "Hello World JAX-WS - Valid User!";

} else {

    return "Unknown User!";

}


و کار دیگه ای هم که میشه کرد اینه که کاربری که authenticate شد دیگه مجدد user pass اش چک نشه...