すでにInfoQに分かりやすい記事が出ているのでリンク。
http://www.infoq.com/jp/news/2008/05/javaone2008_5

ていうかログイン／ログアウトなんて、どうやるんだろうね。
サーバサイドの状態を切り替えるだけだったら何だって良いけど
クライアントの認証状態（HTTPのAuthorizationヘッダ）を
切り替えるなんて、サーバ側だけじゃ難しいだろうし。

そう思ってセッションの時、隣にいたid:yone098に聞いてみたんだけど、
偶然にも、僕も彼も「シングルサインオンを実現するためにBASIC認証をスキップする」
っていう機能を、全く同じ方法で実現してた。
先にAjaxで一発叩いてから、画面遷移する、っていう方法なんだけどね。

まさかそんな機能をServlet APIとして提供するわけがないだろうから
ただのサーバ側での認証状態の保持の話なのか、
何か素敵なsomethingなのか、ちょっと追って調べてみたい。

あ、あと別の話だけど
ファイルアップロードがExpert Groupで検討中だって言ってた。
散々悩んでほしいと思うｗ