Wie lassen sich Authentifizierung und Autorisierung für eine JSF-Webanwendung am besten implementieren? Am liebsten würde ich immer noch die container-basierte Sicherheit verwenden, da ich EJBs aufrufen muss, für die der Principal erforderlich ist.

Ich erkenne, dass die formularbasierte Authentifizierung bei JSF ein großes Problem darstellt. Kann ich möglicherweise einen Phasenlistener oder ähnliches zusammen mit der programmgesteuerten Anmeldung verwenden, um den Benutzer zu authentifizieren?

Gibt es noch andere Methoden, die ich mir lieber ansehen sollte?