Verifiche prima se username e password sono corretti e se così fosse crei una sessione con il mettodo getSession(true) dell'interfaccia HttpServletRequest. Poi nelle pagine riservate ottieni un oggetto Session con lo stesso metodo ma con argomento false (getSession(false)). Ottenuto l'oggetto Session chiami su di esso il metodo isNew() che ritorna true se nn c'è una session per quel client, cioè nn è stato loggato.