JSF facilita tareas de seguridad ya que no es necesario controlar que el usuario no modifique una url. Pero respecto al tema de control de login y roles, es independiente, ya que la gestion de la seguridad la haras en la capa de controlador y JSF es un framework para la parte de la vista. Si no usas JSF, ademas de usar Spring Framework o algo similar, deberas usar algun framework con HDIV que impida que el usuario modifique la url. Por ejemplo si tienes el rol usuario, y un usuario logado accede a 'app/usuarios.htm?idUsuario=123', si cambian en la url el 123 por otro id de otro usuario, estara accediendo a datos de los que no debria tener acceso. En cambio con JSF, la url para cualquier usuario es 'app/usuarios.jsf' y la url nunca contendra parametros.