Java Restful Web Services (jax rs ) шаблон аутентификации

Я начал использовать JAX-RS для создания простого спокойного интерфейса для моего веб-приложения. В настоящее время он используется (только для чтения) одним внутренним клиентом, который имеет доступ ко всем данным приложения, и я использую для доступа базовую аутентификацию http. Я хотел бы начать использовать его как часть уровня представления моего приложения, и определенные операции будут разрешены только в том случае, если пользователь вошел в систему через веб-приложение. Я изо всех сил пытаюсь найти шаблон, который позволил бы мне элегантно использовать обе формы аутентификации без повторения большого количества кода. Вот примерно то, что я придумал:

Сначала класс util для загрузки сеанса приложения, который хранится в базе данных.

public class RestUtil {
    public static AppSession getAuthenticatedSession(HttpServletRequest request) {
        AppSession session;
        String remoteUser = request.getRemoteUser();
        if (remoteUser != null) {
            session = SessionRepository.loadSessionByRemoteUser(remoteUser);
        } else {
            session = SessionRepository.loadSessionById(request.getSession().getId());
        }
        return session;
    }
}

Вот наш ресурс с одним методом, который доступен только аутентифицированному пользователю, или наш базовый клиент аутентификации http:

@Path("/protected/resource")
public class ProtectedResource {
    @GET
    @Produces(MediaType.TEXT_JSON)
    @Path("{userId}")
    public String getProtectedResourceJson(@Context HttpServletRequest request, @PathParam("userId") Integer userId) {
        // Return Charity List XML
        AppSession session = RestUtil.getAuthenticatedSession(request);

        if (session.canAccessUser(userId))  //get Json...
    }
}

Вот самый простой вид сеанса AppSession для ответа на этот вопрос:

public class AppSession {
    User authenticatedUser;
    String remoteUser;

    public boolean canAccessUser(Integer userId) {
        if (remoteUser != null) {
            //this client has access to all users
            return true;
        } else if (authenticatedUser.getId().equals(userId)) {
            //this is local client, calling the service from a view
            //only has access to authenticatedUser
            return true;
        } else {
            return false;
        }
    }
}

Кроме того, для служб, не требующих какой-либо аутентификации, как мне предотвратить несанкционированные третьи стороны указывая на URL-адрес и собирая данные на досуге?