Tengo dos tipos de usuarios en mi aplicación: clientes y vendedores. Estoy usando unPhaseListener en JSF para evitar que los usuarios accedan a las páginas sin iniciar sesión, pero después de iniciar sesión no sé cómo evitar que el usuario cambie la URL en la barra de ubicación y acceda a páginas que no están permitidas. Por ejemplo, evitando que los clientes accedan a las páginas de vendedores.

¿Alguien tiene una idea de cómo podría evitar tales accesos ilegales?