Controle de acesso de usuário em JSF?

Galera,

Estou aprendendo e se puderem me ajudar…

Qual a melhor maneira de controlar o que cada usuário pode acessar nas views, sei que os dados do usuário devem ser registrados na sessão mas e depois? Como poderia implementar quais rotinas o usuário pode acessar?

Podem me ajudar…

Obrigado,

Eu utilizaria tags condicionais para validar o que cada perfil de usuário pode visualizar.
Ou ainda a tag validar se usuario logado tem permissão.

se seu servidor for EE, utilizaria JAAS…
ou entao um PhaseListener