如何处理数据库中用户的身份验证/授权？

目前，我正在使用JSF 2.0，Tomcat 7和MongoDB开发Web项目。我有一个很大的问题，如何处理数据库中用户的会话管理和身份验证/授权。

我想要的结构如下：只有登录用户才能创建事件，每个人都可以看到创建的事件。

• create.xhtml - >仅适用于已登录的用户。

• events.xhtml - >为大家公开。

我计划的基本结构是：

• 检查页面是否需要登录用户（例如create.xhtml）

• 如果是，请检查用户是否已登录

• 如果用户未登录，请转到 login.xhtml

• 如果成功登录，请返回请求的页面

• 除非用户单击“注销”按钮，否则请保留“用户已登录”信息。（我想@SessionScoped进入比赛）

问题是：

1. 这种不那么复杂的方法是什么？

2. 我应该在哪里使用@SessionScoped注释？在Create.java或 LoginManager.java？

3. 对于我的问题，Spring安全性看起来很复杂，我真的需要它吗？如果是的话，你能解释一下实现如何与JSF 2.0和Mongo DB一起工作吗？