EJB (Enterprise Java Beans) - STRUT accesos a través de la barra de direcciones

¿Como puedo evitar el acceso a cierto contenido en mi aplicación?
veamos, usando la clase requestprocesor puedo evitar el accceso a los actions comprobando antes que esté autenticado el usuario, mi problema es por ejemplo con documentos pdf alojados en el mismo servidor, nada evita poner directamente la dirección y acceder al fichero una opción sería configurar el archivo web.xml para los .pdf como para los actions entonces cualquier acceso a un pdf pasaria antes por requestprocesor pero ¿existe alguna otra forma?

Hola una forma es como bien decis, a traves del web.xml, pero definiendo politicas de seguridad, restringiendo el acceso a esos recursos a determinados roles solamente, y tener un servelet que sea el que los retorne en caso de que quieras mostrarlo.
La otra es alojando esos archivos dentro del web-inf (la cual no se puede acceder via url) y tambien teniendo un servlet que "imprima" esos archivos cuando sea necesario