Как обрабатывать аутентификацию/авторизацию пользователей в базе данных?

В настоящее время я работаю над веб-проектом, используя JSF 2.0, Tomcat 7 и MongoDB. У меня есть большой вопрос о том, как обрабатывать управление сеансом и аутентификацию/авторизацию с пользователями в базе данных.

Структура, которую я хочу, выглядит следующим образом :только зарегистрированные пользователи могут создавать события, и каждый может видеть созданные события.

• create.xhtml--> только для зарегистрированных пользователей.
• events.xhtml--> публичный для всех.

Основная структура, которую я планирую, это:

• Проверьте, требует ли страница входа в систему пользователя (, например.create.xhtml)
• Если да, проверьте, вошел ли пользователь в систему
• Если пользователь не вошел в систему, перейдите кlogin.xhtml
• При успешном входе вернитесь на запрошенную страницу
• Сохраняйте информацию «Пользователь вошел в систему», если пользователь не нажмет «Выйти» кнопка. (тут я думаю @SessionScopedвступает в игру)

Вопрос:

1. Каков менее сложный способ сделать это?
2. Где я должен использовать аннотацию @SessionScoped? В Create.javaили LoginManager.java?
3. Безопасность Spring выглядит довольно сложной для моей проблемы, не так ли? нужно это? если да, можете ли вы немного объяснить, как эта реализация работает вместе с JSF 2.0 и Mongo DB?