Si solo escribe la URL, no tiene el objeto "usuario" en la sesion y por lo tanto no puede entrar.

Si además hay que distinguir por perfiles, pues en la sesion guardas el perfil como dice elAntonie y compruebas en las páginas que el usuario tiene el perfil adecuado para verlas y si no, le haces un forward->ahacerpuñetas.jsp .


S!