Que sea un .war no afecta ni para bien ni para mal.
Lo mas habitual es el captcha y ya hay librerias que te lo faciltan, como por ejemplo recaptcha.

Según el tipo de aplicación que sea, puede no tener demasiada importancia, aunque es mejor no hacerlo nunca así, o puede ser hasta ilegal tener las claves "en claro" (según la ley de protección de datos etc.) Lo habitual en estos casos es guardar la clave encriptada, de hecho solo se guarda un hash, y no hay forma de obtener la clave desde el hash. Para comprobar que la clave es la misma, basta realizar la misma operacion al valor que nos han pasado y comprobar que el hash es el mismo. Esa es la forma más habitual de guardarse las espaldas.