Я бы поставил все jsp под WEB-INF.Затем убедитесь, что все действия по доступу к изображению содержатся в перехватчике, который проверяет, вошел ли пользователь в систему ( SecurityInterceptor ), в противном случае он перенаправит их на экран входа в систему.Вам нужно создать действие для входа в систему пользователя и установить переменную сеанса, которая бы удовлетворяла этому.Затем я буду хранить изображения в БД, потому что мне нравится помещать все в БД, и строка, вероятно, будет содержать: UseID (пользователь, которому принадлежат права доступа к этому изображению, описание, дата публикации и изображение).
Вы можете просто купить Struts2 в действии.Книга учит, создавая простое демонстрационное приложение шаг за шагом.Демо-приложение представляет собой галерею изображений, в которой рассматриваются все вышеперечисленные пункты и многое другое.