セキュリティーは、Web コンテナー (アプリケーションが実行される環境) によるか、またはアプリケーション自体によるかのいずれかによって管理することができます。Web コンテナーは、IBM® WebSphere® Application Server や Apache Tomcat などの JEE アプリケーション・サーバーと同義です。 Web コンテナー管理のセキュリティーは、JEE セキュリティーまたは J2EE セキュリティーとも 呼ばれます。アプリケーションの開発者が記述するセキュリティーであるアプリケーション管理のセキュリティーは、カスタム・セキュリティーとも呼ばれます。両方の種類のセキュリティーに、 それを実装する前に理解する必要のある利点と欠点があります。
宣言型セキュリティーとプログラマチック・セキュリティーのどちらを使用するかを選択できます。 宣言型セキュリティーでは、 セキュリティー・ポリシーを、アプリケーションの外部のデプロイメント記述子または構成ファイル に定義するため、アプリケーションではセキュリティーを意識しません。 プログラマチック・セキュリティーでは、アプリケーション・コードが、セキュリティー呼び出しを 明示的に含みます。
Web コンテナー管理の (JEE) セキュリティーは、セキュリティー制約をデプロイメント記述子または構成ファイルに定義するため、宣言型です。JEE セキュリティーは、 アプリケーション内から呼び出すことのできる複数のセキュリティー関連 API を含むため、 JEE セキュリティーもプログラマチックにすることができます。アプリケーション管理の (カスタム) セキュリティー は、セキュリティーを完全にアプリケーション内から処理するためプログラマチックです。