カスタムUsernameTokenManagerの仕組みがよくわかりました。ユーザー名とパスワードがクライアントから SOAP リクエストで提供されていれば問題ありません。クライアントが明示的にパスワード (<wsse:Password>タグ) を除外した場合、フレームワークが対応する例外をスローすると予想されます。残念ながら、Web サービス呼び出しは通常どおり進行します。UsernameTokenManagerデバッグ時に、カスタムが呼び出されていることがわかり(メソッドAuthenticateToken)、正しいパスワードが返されます。しかし、その後何かが機能していません。手がかりはありますか?