Dans un environnement JSF, en utilisant l'authentification JAAS, il suffit d'invalider la session pour effectuer une déconnections au niveau de l'application.

FacesContext facesContext = FacesContext.getCurrentInstance();
ExternalContext externalContext = facesContext.getExternalContext();
final HttpServletRequest request = (HttpServletRequest) externalContext.getRequest();
request.getSession(false).invalidate(); 

Plus d'information : 
http://roneiv.wordpress.com/2008/02/18/jaas-authentication-mechanism-is-it-possible-to-force-j_security_check-to-go-to-a-specific-page/