В моем веб-приложении, использующем Java EE 6. Я хочу представить некоторые из своих функций в качестве службы отдыха Json. Я хочу использовать токены аутентификации для входа в систему, пользователь отправит свое имя пользователя, пароль, а сервер отправит обратно токен, который будет использоваться для авторизации пользователя по его дальнейшим запросам в течение определенного времени.

Несколько вопросов беспокоит меня до сих пор;

Когда сервер создает токен и отправляет его клиенту, должен ли сервер сохранить его в БД ИЛИ в Бине, используя что-то вроде хеш-таблицы в качестве пар идентификаторов пользователей и токенов?

Могу ли я получить некоторую помощь, используя какой-либо конкретный API Java EE, или это должен быть весь пользовательский код?