Если вы хотите использовать управляемую контейнером безопасность, см. Другие ответы.
Если вы внедряете уровни безопасности в самом веб-приложении (которое может быть более гибким IME и определенно более традиционным для простых приложений), вам понадобится какая-то платформа, которая интегрируется со всем, что вы используете для создания приложения. ,
Я использую Spring-Security сам. Это может быть немного излишним для того, что вы делаете, но вы можете заставить его работать полностью ортогонально к вашему приложению, то есть просто определить некоторые защищенные URL-адреса и перенаправить пользователей в форму при попытке доступа к чему-либо, а затем при входе успешно позволить им встать на их пути. Обязательно придерживайтесь конфигурации на основе пространства имен, если ваши потребности не слишком сложны. Основанный на бобах - немного утомительный, если вы не используете активно весну. Вся необходимая вам информация находится в главе 2 .