Довелось повозиться с JAAS, для организации управления доступом внутри XML-RPC сервиса (реализованного в виде сервлета, крутящегося внутри Tomcat). В результате поиска хорошей, систематизированной информации, наткнулся на книжку: JAAS in Action ( http://jaasbook.wordpress.com/)
Книжка доступна для свободного скачивания в формате PDF, лицензия - CC.
Как результат, я её крайне рекомендую: содержит всё необходимое для вникание в работу с JAAS, содержит практические примеры, среди которых, к примеру, использование нескольких Policy-источников, показаны примеры для хранения настроек JAAS, аутентификационной (имя пользователь и пароль, группы пользователя) и авторизационной (политики, разрешения) информации в базе (легко разворачивается до использования других хранилищ, к примеру - LDAP). Язык английский, но читается крайне легко.
Другие ссылки, касательно JAAS, можно поглядеть тут.
P.S. эпопею с сервлетом и авторизацией, я ещё опубликую, как только полностью закончу.