я так понимаю, что нужно протестировать как работает серверное приложение с использованием WS. я бы посоветовал посмотреть в сторону Jasmine и написать несколько приемочных тестов для контроля работы WS. я использую Jasmine-Node для приемочного тестирования RESTFull API jasmine.github.io https://github.com/mhevery/jasmine-node
Вы можете определить домен с помощью HttpServletRequest request
который можно передавать в экшен.
На счет secure вряд ли.
На ваше месте я бы вынес все что связанно с логикой и базой в отдельный модуль, модили для клиентов и спикеров его бы подключали и реализовывали только специфичные вещи, но придется все таки следить за базой хорошо в данном случае и правильно ее мигрировать.
Как минимум NullPointerException есть вероятность словить, если например массив в JSON будет пустой. Тоже самое и по поводу параметров - нет проверки на их наличие. Вообще советую для таких целей Gson юзать. Жизнь сильно упростит
