Atualmente, estou trabalhando em um projeto web usando JSF 2.0, Tomcat 7 e MongoDB. Eu tenho uma grande questão de como lidar com o gerenciamento de sessões e autenticação / autorização com usuários em um banco de dado

A estrutura que eu quero é a seguinte: somente usuários logados podem criar eventos e todos podem ver os eventos criado

create.xhtml -> apenas para usuários logados.events.xhtml -> público para todos.

A estrutura básica que estou planejando é:

Verifique se a página requer usuário conectado (por exemplo,create.xhtml)Se sim, verifique se o usuário está logadoSe o usuário não estiver logado, vá paralogin.xhtmlSe logado com sucesso, volte à página solicitada Mantenha as informações "O usuário está logado", a menos que o usuário clique no botão Sair. (lá eu acho que@SessionScoped entra em jogo)

A questão é

Qual é a maneira menos complicada de fazer isso?Onde devo usar o@SessionScoped anotação? DentroCreate.java ouLoginManager.java? segurança do Spring parece meio complicada para o meu problema, eu realmente preciso disso? se sim, você pode explicar um pouco de como a implementação funciona junto com o JSF 2.0 e o Mongo DB?