Al desarrollar un servicio web (Hospital Management System) utilizando Java EE, ¿es necesario que para cada llamada al servicio web, se deba verificar que el usuario haya iniciado sesión?

l método de autenticación es el mejor JAAS, WS-Security, SAML o una combinación o usando tokens propios ??