Защищенный вход в приложение (Secutity Login)

Добрый день!

Хотелось бы проконсультироваться,
по поводу архитектуры секьюрного логина на Vaadin.

Дано: приложение на vaadin,
логин идет через LoginForm
На сервере есть как http, так и https.
т.е. http://app и https:/app

Заказчик что предложил:
Логин вести по защищенному каналу, а затем переключать на незащищенный.
т.е. вводим http://app -> редиректит на https://app, логиниимся и дальше приложение редиректит браузер на https://app где открывается главное окно приложения (т.е. логин прошел)

Обратил внимание что многие сайты (к примеру, ebay) работают по этому принципу.

Вопрос-то какой?

А в чём вопрос то ?
Общие соображения по этому поводу у меня такие: прямо, в лоб это сделать, видимо, не получится.
HTTPS и HTTP соединения должны (я так думаю) обрабатываться разными объектами сервлета с разными объектами сессий. Это значит, что приложение, работающее для логина будет отличаться от приложения, обрабатывающего функционал. То есть по факту будет два разных приложения, кот. нужно как-то общаться друг
с другом (https приложение вообще, возможно не имеет смысла делать на Vaadin). Вот это и придётся реализовывать самостоятельно: нужен будет какой то временный security token, кот. первое приложение передаст второму, выставив таким образом контекст пользователя.
Если так работают многие сайты, то имеет смысл поискать готовые варианты решений. Может сервера приложений дают какую то встроенную возможность использовать механизм аутентификации в нужном режиме.

Спасибо!
Ну да, вопрос-то в этом и был, какие мысли как такое реализовать?

Если уже поддерживается защищённый канал, зачем потом переходить на незащищённый?