Сделал аутентификацию пользователя через JAAS. Вроде даже работает.

Далее встала задача сделать автологин (т.е в cookies сохраняется информация о пользователе, и если сессия закончилась, то после захода на сайт - делать ему авторизацию)
Реализовал куки следующим образом: сделал фильтр с паттерном /*, в котором из реквеста берутся куки, и если пользователь не авторизован, то выполняется авторизация. 

Но потом выяснилось что куки в реквесте приходят только когда пытаешься первый раз зайти на открытую страницу, т.е на ту, которая не прописана в <security-constraint> для определенной роли. А если пытаешься сразу зайти по сохраненной ссылке на закрытую страницу, то куков нет и соответственно авторизация не может быть проведена.

И еще, когда прописал в web.xml метод аутентификации и страницу логина:

<login-config>
 <auth-method>FORM</auth-method>
  <form-login-config>
    <form-login-page>/jsf/login/login.jspx</form-login-page>
    <form-error-page>/jsf/errors/error.jspx?errorCode=1000</form-error-page>
 </form-login-config>
</login-config>

, то оно стало редиректить на страницу логина, но при этом пишет в лог ошибку, что не пожет создать бэкинг бин для этой страницы.

В чем моя принципиальная ошибка? может вообще отказаться от JAAS и использовать другой способ аутентификации (хотя не знаю какой)?

Что, вообще никто?

Посмотрите Spring Sequrity, там есть механизм Remember Me.