关于web端调用安全验证ejb的问题。

看了黎活明的教材，调用带有安全验证的ejb是这样做的。比一般的调用仅仅多了两句
SecurityAssociation.setPrincipal(new SimplePrincipal(user.trim()));
SecurityAssociation.setCredential(pwd.trim().toCharArray());
分别向SecurityAssociation这个类设置了用户名和密码。然后就lookup远程接口了。

我不太明白SecurityAssociation这个类的作用。是不是web服务器自动把这个对象传到ejb服务器进行验证，然后获得的角色也存放到这个对象里面传回到web服务器？