¿Cuál es la mejor manera de implementar la autenticación y autorización para una aplicación web JSF? Preferiblemente, todavía me gustaría usar seguridad basada en contenedores, ya que necesito llamar a los EJB que requieren el principal.

Me doy cuenta de que la autenticación basada en formularios es una lucha importante con JSF, pero ¿puedo usar un PhaseListener o algo similar junto con el inicio de sesión programático para autenticar al usuario?

¿Algún otro método que prefiero ver?