如何处理数据库中用户的身份验证/授权？目前，我正在使用JSF 2.0，Tomcat 7和MongoDB开发Web项目。我有一个很大的问题，如何处理数据库中用户的会话管理和身份验证/授权。我想要的结构如下：只有登录用户才能创建事件，每个人都可以看到创建的事件。create.xhtml - >仅适用于已登录的用户。events.xhtml - >为大家公开。我计划的基本结构是：检查页面是否需要登录用户（例如create.xhtml）如果是，请检查用户是否已登录如果用户未登录，请转到 login.xhtml如果成功登录，请返回请求的页面除非用户单击“注销”按钮，否则请保留“用户已登录”信息。（我想@SessionScoped进入比赛）问题是：这种不那么复杂的方法是什么？我应该在哪里使用@SessionScoped注释？在Create.java或 LoginManager.java？对于我的问题，Spring安全性看起来很复杂，我真的需要它吗？如果是的话，你能解释一下实现如何与JSF 2.0和Mongo DB一起工作吗？