すでにInfoQに分かりやすい記事が出ているのでリンク。
http://www.infoq.com/jp/news/2008/05/javaone2008_5
ていうかログイン/ログアウトなんて、どうやるんだろうね。
サーバサイドの状態を切り替えるだけだったら何だって良いけど
クライアントの認証状態(HTTPのAuthorizationヘッダ)を
切り替えるなんて、サーバ側だけじゃ難しいだろうし。
そう思ってセッションの時、隣にいたid:yone098に聞いてみたんだけど、
偶然にも、僕も彼も「シングルサインオンを実現するためにBASIC認証をスキップする」
っていう機能を、全く同じ方法で実現してた。
先にAjaxで一発叩いてから、画面遷移する、っていう方法なんだけどね。
まさかそんな機能をServlet APIとして提供するわけがないだろうから
ただのサーバ側での認証状態の保持の話なのか、
何か素敵なsomethingなのか、ちょっと追って調べてみたい。
あ、あと別の話だけど
ファイルアップロードがExpert Groupで検討中だって言ってた。
散々悩んでほしいと思うw