Estoy diseñando un proyecto con JSP, Tomcat y Struts2, a los JSP les pongo algo de JavaScript entre medio y bueno, mi consulta va por el lado de la seguridad, pues cada vez que utilizo Struts2, redirecciono (al igual que en Struts1) a los JSP correspondientes de mi aplicación web, esa aplicación queda vulnerable primero que todo por decir el nombre del JSP (mostrarlo en la barra de direcciones) EJ: www.mipagina.com/mi_pagina1.jsp. Otra cosa es que si hago un Login en JSP y luego ese login me lleve a otros JSP, sabiendo el nombre de uno de los JSP que vienen más adelante, puedo saltarme el login e ir directo a una pagina.jsp que por ejemplo me muestra el resultado de un query a una base de datos, evidentemente no quiero eso, si no que sea requisito loguearse, cómo puedo delimitar esto y hacer obligatorio el login para ver el sitio????