Autenticação e autorização em web services com glassfish

Bom dia pessoal. Estou desenvolvendo um serviço web para exemplificar um trabalho. Ele consiste de um serviço que recebe dados de uma clínica (como cadastrar, editar e excluir um paciente ou uma consulta) e um serviço de um laboratorio (que pode manipular os tipos de exame e editar os dados relativos a esses exame na tabela consulta).
Os serviços são básicos, recebem os dados como parâmetro e manipulam a base de dados que é comum aos dois serviços.

Ai vai minha dúvida. Há a possibilidade, e como, de disponibilizar apenas um serviço e restringir o que cada cliente pode acessar através de uma autenticação no conteiner glasfish? Não queria inserir códigos de autenticação diretamente nos serviços já que estou usando DAO e MVC para não misturar lógica, acesso a banco, etc…