Java 在JBoss中使用基于角色的身份验证和登录的REST和SOAP web服务安全性

我想在我的web服务中实现基于角色的授权和标识。我想这是我第一次尝试用j2ee来实现这一点。我正在运行JBoss6.4和J2EE7。 我想了解的是：

1-如何实现基于角色的安全性。我的web服务将公开某些角色可以使用的具有特定安全级别的方法

2-鉴于前端是HTML5JS（主要是react和一些纯JS），如何对我的web服务的用户进行身份验证

3-如何混合使用soap信封和https加密

4-如果我有一个用户数据库，我可以在j2ee中使用什么类型的安全机制或框架来实现基于角色的安全性

---

如果有人能给我举个例子或者给我指一个我能阅读到最好的示例代码的地方，我将不胜感激。此框架可以为您提供所需的所有安全功能。

欢迎使用StackOverflow！您的问题很好，但它违反了新问题的要求。你应该问更具体的问题，比如“我对下面的代码有问题”，而不是问“我应该如何实现smth”之类的建议。发布这样的问题只会让你投下大量的反对票。我还要补充一点，JBoss EAP 6.4不是Java EE 7的实现。好的，谢谢，很抱歉。谢谢你的提示，但我看到它只展示了关于身份验证和授权的基本示例，我不知道如何将两者结合起来。。基本上，我想保护我的rest端点不受未经身份验证和未经授权的访问，因此，如果未经身份验证的用户进行调用，它会被拒绝，如果经过身份验证的用户尝试访问他不应该访问的内容，也会被拒绝。与基于角色的方法类似，只有角色中的用户才能访问由该角色保护或可用于该角色的资源。我会继续浏览这些例子，看看能找到什么。好吧，祝你好运！如果您正在寻找想法，我可以建议您在每次登录时生成随机令牌，将其保留在服务器端和客户端，然后将其用作请求参数，如果它们不相等，则返回403。然后您必须检查授权（可以使用Picketlink或手动完成），如果用户未授权，则返回403。