お仕事です(爆)
といっても勝手に機能を追加してたりする罠。

JSFてライフサイクルの関係上、javax.servlet.FilterでFacesContextが取れないらしい。
だもんで、Filterではリクエストからセッションを参照してMamagedBeanはFacesContext（ExternalContext）から見なくちゃだめっぽい？
これがなかなか手続きがめんどくさいわけで。

ExternalContext ectx = FacesContext.getCurrentInstance().getExternalContext();
HttpSession session = (HttpSession) ectx.getSession(true);

なげーよｗ

さて、認証・承認機能はどうすっかな。
なんかAcegi使ったほうが楽な気がしてきたｗ