При разработке веб-службы (системы управления больницей) с использованием Java EE необходимо, чтобы при каждом вызове веб-службы она проверялась, вошел ли пользователь в систему?

Какой метод проверки подлинности является лучшим JAAS, WS-Security, SAML или их комбинация или использование?собственные токены??