Здравствуйте!
Пишу приложение и необходимо реализовать авторизацию/аутентификацию пользователей. Решил использовать библиотеку Apache Shiro, т.к. предоставляемые возможности меня полностью устраивают.
Но возникла небольшая трудность и пока точно не знаю как ее разрешить. 
Приложение у меня клиент-серверное. Клиент на swing, устанавливается у пользователей. Сервер работает с jetty-embedded. Общение клиента и сервера происходит через http. На сервере есть один сервлет, который обрабатывает запрос пользователя, делает какое то действие (выборка из БД списка, обновление какой-либо сущности и т.п. ) и выдает ответ в виде json (к примеру список объектов для таблицы). Пользователи хранятся в embedded БД HSqlDB.
Итак, мне необходимо в клиенте сперва залогиниться, а затем делать проверку имеет ли данный пользователь право (имеет ли определенную роль), чтобы увидеть какой то элемент управления или сделать то или иное действие. 
В терминах Shiro все выглядит достаточно просто:



Проблема в том, что вся информация о пользователях и их ролях будет хранится на сервере, к которому клиент обращается по http. Соответственно, я не могу понять, можно ли использовать какой-нибудь стандартный механизм Shiro, чтобы авторизовать пользователей на удаленном http-сервере? или необходимо реализовывать собственную логику в виде своего Realm'a?
Т.е. при вызове getSubject() мой клиентский код должен обратиться по http на сервер, проверить есть ли такой пользователь, проверить его пароль и вернуть ответ. 
Затем при каждом вызове hasRole("roleName") также необходимо подключаться к серверу, спрашивать такую ли роль имеет пользователь и возвращать ответ. (либо при логине сразу возвращать роль пользователя).