A dire la verità sono passato a gestire l'autenticazione e l'autorizzazione all'accesso delle pagine con Spring Security, perchè avevo un problema, ovvero che con tomcat dovevo modificare il realm in modo globale per far leggere da DB, di conseguenza dal momento che la mia applicazione doveva girare su un Application server dove c'erano anche altre applicazioni non potevo modificare il file di configurazione di Tomcat dove si configura il realm (server.xml se la memoria non mi inganna)...Se per caso utilizzi Spring ti consiglio di usare Spring security.

Cia cia