Si tienes organizada tu aplicación para que todas las páginas protegidas cuelguen de un mismo directorio (p.ej.: /protected/), podrías configurar un Servlet como filtro para que toda petición a jsp de ese directorio compruebe la identidad del usuario. Eso hace que no tengas que tocar ningún JSP, por lo que me imagino que será una buena noticia para tí.

Te puedo indicar un referencia bibliográfica, que es donde aprendí a hacer esto que te comento:

Java Server Pages
Ed.: O'Reilly
Autor: Hans Bergsten

Capítulo 18: Combinando JSPs y Servlets


Saludos