Eso funciona hasta cierto punto, pero si un usuario introduce directamente la URL o usa un bookmark, la barra.jsp no protegerá la aplicación. Si realmente se necesita seguridad, lo suyo es hacer pasar todas las peticiones por un servlet controlador o usar un ServletFilter para proteger todas las URL que lo necesiten.

Y el usuario no hay que pasarlo cada vez como parametro oculto, hay que guardarlo en la sesión para no depender de que te lo manden.