Web Services for J2EE(JSR109) V1.0, 6.2.2.2 Security
うっ。MesageHandler内部でメッセージの構造を変更することは禁止されているのですね。セキュリティ上の理由というのは理解できますが、handleResponse()で変更できないのは厳しいなぁ。
A Handler must not change the message in any way that would cause the previously executed authorization check to execute differently.