Saludos a todos!

Voy a desarrollar por primera vez una aplicación web usando JEE con Servlets, y para la autenticación/autorización de los usuarios usaré seguridad gestionada por el contenedor, tal y como recomienda el tutorial de JEE 6. El proceso es el típico: el usuario presenta usuario/password una primera vez para hacer el login, y en las siguientes peticiones presenta un id de sesión en una cookie. Finalmente, puede hacer logout.

Mi pregunta es la siguiente: es posible conseguir un comportamiento de ese tipo sólo empleando seguridad declarativa, o será necesario usar seguridad programática para controlar el login(HttpServlet Request.login y demás) y las sesiones?

Muchas gracias por anticipado!