Аутентификация пользователя в веб-сервисах SOAP

Я задал вопрос о JAX-WS, аутентификации и авторизации - как? ; Обсуждались уровни безопасности и место хранения учетных данных пользователей.

Теперь, после некоторых выводов, я хочу попробовать один из этих сценариев:

• Веб-службы SOAP - метро
• Безопасность на уровне сообщений - Проверка подлинности взаимного сертификата для проверки подлинности клиентского приложения.
• Учетные данные пользователя в заголовке Soap

Как получить учетные данные и выполнить авторизацию? У меня есть 2 идеи:

• JAAS (я ничего об этом не знаю);
• Обработчик SOAP - использование WebServiceContext для извлечения учетных данных из сообщения и авторизации «вручную».

Можете ли вы помочь мне выбрать лучший способ и как его реализовать?

Помните, что мне нужен общий сертификат плюс токен пользователя.