No te hace falta usar variables de sesion, te vale simplemente con configurar correctamente el fichero WEB-INF/web.xml de tu aplicacion.

Busca en esa direccion, lo que necesitas se llama security-constraint

Aqui tienes un enlace en lo que lo explica de manera simple (esta en ingles):
http://www.onjava.com/pub/a/onjava/2...6/webform.html.