Controle de usuários com sessao

Pessoal, eu nunca fiz nd na pratica de controle de usuários em paginas JSP, mas creio q farei em breve. Ja li varios artigos sobre isso e queria saber se a forma q vou fazer está correta, ou seja, se eh a mais usada e tals. Entao se tiver alguma mais simples e certa, fala ai.

Seguinte, digamos q eu tenha 3 paginas:

LOGIN.JSP - RESTRITA1.JSP - RESTRITA2.JSP

O usuario so vai ter acesso a pagina LOGIN p/ logar, as outras 2 JSP so vao poder ser visualizadas apos confirmacao do login.

Entao para isso, eu pensei em fazer o seguinte:

A pessoa tem q logar p pegar uma sessao e se tiver uma sessao, apos logon, ai consegue acessar as paginas restritas, se n tiver n consegue.

Ai coloca 1 controle, p ver se tem 1 sessao criada, nas paginas restritas e coloca o “page session=false” p n criar automaticamente a sessao, so cria qnd loga, ai impede acesso direto sem logar.

Bem, eu acho q seria isso, a maneira mais simples e correta eh esta msm? Vlw…

Saudações…
Esta maneira esta correta, ela impede o acesso pela url sem passar pelo login.
Da uma olhada…

http://www.guj.com.br/posts/list/24445.java

Testei aki e pegou blz como dito acima.

So 1 curiosidade sobre seguranca com session: as sessoes sao salvas em cookies ou atraves de url wirting, supondo estarem em cookies, teria como burlar 1 cookie q “simule” 1 sessao aberta p ter acesso ao site? Eh complicado isso? Tem como contornar esse problema? Vlw…