là, je ne sais vraiment plus où chercher

je développe une application avec plusieurs fonctions d'utilisateurs, disons admin et user pour simplifier.
J'utilise des facelets (templating) et JSF.

Je souhaite donc :

1. qu'en rentrant une URL, si la personne n'est pas authentifiée (quelque soit sa fonction), la page ne s'affiche pas ;

2. que sur une liste, les admins puissent faire des modifs et que les users ne puissent que voir la liste.

J'ai tenté une approche avec Jaas, avec Spring-security, mais tout ça me semble trop difficile.
J'aimerais pouvoir gérer ces droits plus simplement.

Quelqu'un pourrait-il m'aiguiller ?