A filosofia do Mentawai é abstrair o máximo possível a maioria dos problemas recorrentes de todo projeto web.
Autenticação é um deles e é bem mais complexo do que parece a primeira vista. Por exemplo há a questão do redirect after login que é necessária para muitos projetos web, e que não é simples de se implementar na mão, e mesmo que fosse, por ser recorrente, merece uma abstração em qualquer framework web que tenha como missão economizar o seu precioso tempo.
O Mentawai cuida da autenticação, da proteção ao acesso as páginas web (JSP) via tags, proteção do acesso as actions via filtro, liberação para actions onde autenticação não faz sentido (cadastro, login, etc.) via interface, do redirect after login via filtro, etc.
Não acredito que o o JSF tenha esse nível de abstração. A política deles para isso deve ser: “se vira, isso deve ser facinho de fazer na mão, eu já te dei um controlador agora vc me pede autenticação ??? Usa JAAS ou qualquer outra coisa e se vira!”
Outra coisa que o Mentawai faz é te dar uma action de login e outra de logout. Como a documentação mostra, vc tem que fazer o mínimo necessário para isso funcionar, pois acreditamos que há outras coisas mais importante e interessantes no seu projeto web do que ter que ficar brigando com a funcionalidade de autenticação.
Do mesmo jeito que o Java é diferente de C++ quando diz que vc não deve perder o seu precioso tempo trabalhando com aritimética de ponteiros, arrays sem limites, gerenciamento de memória, etc. o Mentawai é diferente dos outros frameworks porque não quer que vc perca o seu precioso tempo com pool de conexões, autenticação, autorização, envio de email, internacionalização, etc.