Здравствуйте, dkud, Вы писали:

D>Если по порядку:

D>приложение А использует свой сервлет для обработки запросов и содержит свою внутреннюю аутентификацию и авторизацию.
D>При этом переделываются некоторые модули существующего проиложения с использованим JSF/Spring/Hibernate и вся аутуентификация переностися на уровень JAAS.

D>Логин модуль правильно зарегистрирован в login-config в JBoss.
D>И все работает, если использовать login.jsp с фромой, посылающей запрос j_security_check.

D>Но у меня уже есть в старом приложении форма для ввода пароля и я бы хотел провести дополнительную аутентификацию вручную. Да это и получается, но только в LoginContext-е, а мне надо, что бы пользователь с его ролями был зарегистирован в сессии.

Теперь понятно. К сожалению я не гуру в этом вопросе. Но сдается мне что код получится очень JBoss/Tomcat специфичный. Именно Tomcat занимается тем что по j_security_check помещает Principal в сессию.

Я вот смотрю сейчас исходники 4го томката. Попробуй такой вариант: взять HttpSession в сервлете прикастить её к org.apache.catalina.Session и setPrincipal туда.