스프링 web서버+rest서버를 하나의 war파일로 서비스 가능한가요?

스프링 프레임워크를 이용하여 web 서버를 구현해봤고, rest 서버도 구현을 해봤습니다. (각각 별도의 서버)

이제는 web + app을 공통으로 처리하는 하나의 .war 파일을 생성해서 톰캣에 올려 서비스 하려고 합니다.

이를 위해 web서버 처리 컨트롤러를 ajax 처리방식으로 변경하여
컨트롤러 URL로 get, post를 받으면 json으로 반환해주도록 변경을 했습니다.

이렇게 하면 web이든 app이든 URL 형식만 맞춰서 요청을 하면
하나의 컨트롤러로 web, app 모두 대응 할 수 있을 것같습니다.

그런데 문제는 컨트롤러가 아니라 인증 부분에서 발생했습니다.

web에서는 인증되지 않은 사용자가 특정 URL로 접근을 하면 login 페이지로 redirect 시켜주고,
rest 서버에서는 unauthentication 에러를 json으로 반환해주어야 합니다.

그것 말고도 web은 session 기반 연동이고, rest는 sessionless 기반 연동이라
rest에서는 token을 발행하고, 매번 수신되는 request에서 이 token을 통한 인증이 진행되어야 합니다.

인증방식이 상당히 다르기 때문에 하나의 서버(.war파일)로 개발할 수 있는지 궁금합니다.
web 서버와 rest 서버를 하나의 서버로 개발하신 선배 개발자님들의 조언 부탁드립니다.

가능한 구성이라면 spring securty configuration에서 어떻게 설정하면 되는지 개략적인 설명부탁드립니다.