Então, minha dúvida é exatamente o que esta no titulo do topico.
A aplicação possui alguns atributos in session para uma regra especifica de navegação.
Mas, caso a URL venha a ser alterada via URL no browser, essa minha regra de navegação precisa sair da sessão.
Alguma sugestão?
Ah sim, a aplicação esta utilizando JSF2 no GAE.
Um filter nao resolveria seu problema?
Há outras soluções para autorização e autenticação de usuários, da própria especificação java, como o JAAS; o SpringSecurity mostra-se eficiente também, vale lembrar que ele própriol, nada mais é que a implementação do JAAS.
Esta última solução seria algo mais completo… num modelo menor, acho que a primeira opção pode lhe atender.