Pessoal tenho em um servidor Wildfly (Jboss) a seguinte estrutura:
site.war que na verdade é o front-end em HTML + JavaScript (Ajax)
back.war que é o back-end com Java e acessado via serviços (Rest).
Por uma necessidade específica gostaria que o site ficasse disponível para todos e o Rest fosse acessível somente via localhost. Eu consigo fazer isso somente editando o arquivo standalone.xml?
Eu não consigo enxergar o funcionamento disso que você quer implementar, um de nós está equivocado. Na minha cabeça isso não funciona, mas caso funcione, quero saber para aprender!
O Site.war tem as páginas HTML com o JavaScript que faz requisições para a API, certo?
Quando o cliente acessa a página do Site.war, o servidor vai mandar para ele o HTML e o JS da página acessada. A partir desse momento, as requisições feitas pelo JavaScript são executadas no browser do cliente e, portanto, com o IP do cliente, fora do localhost do servidor. É o cliente que envia as requisições. O Site.war só serve para armazenar e servir os clientes com HTML e JS. Não é o Site.war que se comunica com o Back.war, mas sim o browser do cliente que se comunica com o Back.war.
Se você quiser que o acesso a Back.war seja restrito, você precisaria ter um sistema em Site.war, alem do conteúdo estático HTML/JS, responsável por repassar as requisições para o Back.war, pelo localhost ou mesmo através de uma VPN em caso de hosts diferentes.
Ao invés disso, você pode simplesmente restringir as requisições implementando uma lógica de segurança para acesso da API em Back.war, seja ela com tokens ou qualquer outro método.