Tengo 2 aplicaciones en 2 servidores diferentes: Tomcat (básicamente un archivo .WAR) y un EAR en jBoss.

EAR es una aplicación reutilizable donde autenticaré al usuario y devolveré el control a la aplicación en Tomcat. Mientras me autentico, estoy creando un objeto de sesión en la aplicación jBoss.

Cuando devuelva el control a la aplicación en Tomcat, le preguntaré al usuario si desea cerrar la sesión de la aplicación de autenticación. Si el usuario presiona el botón "Sí", tendré que cerrar sesión en la aplicación de autenticación.

Preguntas

1) Leí que Filter es la mejor manera de invalidar la sesión. En mi caso, dado que la aplicación de autenticación está destinada a ser utilizada por más de 1 usuario, ¿cómo sabrá el filtro qué sesión debe invalidar?

2) ¿Debo pasar el ID de sesión creado en la aplicación jBoss a la aplicación Tomcat para que, cuando el usuario decida cerrar la sesión, deba devolver el mismo ID de sesión a la aplicación jBoss para que el filtro se invalide?