Controle de usuário no tomcat

Olá, estou desenvolvendo uma aplicação web e gostaria de manter um controle de acesso com usuário e senha. Pois bem, estou utilizando o tomcat e configurei o web.xml para, em determinado diretório o tomcat pedir para o usuário se identificar. Até aqui eu consegui fazer, o tomcat direciona para página de login, no entanto simplesmente presionando o button submit ele permite o acesso.

A minha dúvida é a seguinte, a identificação dos usuário permitidos, eu faço através do tomcat ou a minha aplicação que deve conferir o nome e senha do usuário?

Caso sejá possível configurar no tomcat gostaria de sugestões de como fazer, ainda não estou muito familiarizado com o desenvolvimento web e as vezes fico tentando reinventar a roda…

Att, Phill.