1. Написать сервлет, который будет проверять на эдентичность userName и password, например из базы, и писать роль.
2. Написать фильтр, который будет получать роль авторизировавшегося пользователя и запрещать переход на какие-либо страницы, делать какие-либо действия.
3. Сделать jsp-страницу, которая будет использовать сервлет и отправлять данные!
P.S. Не забудь зарегистрировать сервлет и фильтр в web.xml.
1.
2.
3.