La aplicación empresarial Java™ EE puede protegerse mediante anotaciones o descriptores de despliegue.
La seguridad es importante en el entorno Java EE, y se consigue mediante la autenticación y la autorización. La autenticación verifica la identidad de un usuario determinado, generalmente solicita al usuario que indique un nombre de usuario y una contraseña. En el entorno Java EE, la autenticación se asocia con un reino. El reino puede almacenar información de identidad de usuarios de muchas formas, incluyendo archivos, directorios LDAP e incluso bases de datos a las que se accede a través de JDBC. La autorización otorga permisos de control de acceso que se basan no sólo en lo que está ejecutando el software, sino también en la identidad del usuario autenticado que lo está ejecutando. Cada vez que un usuario inicia una sesión, se le otorgan distintos permisos para cada aplicación.
Antes de Java EE 5, si quería utilizar la autorización para una determinada aplicación, tenía que especificar información de autorización en los descriptores de despliegue de la aplicación ejb-jar.xml o web.xml. Uno de los principales objetivos de Java EE es simplificar el desarrollo de las aplicaciones Java EE. A partir de Java EE 5, los desarrolladores puede especificar anotaciones en los archivos de origen Java, en lugar de poner metadatos en descriptores de despliegue. Las anotaciones simplifican el desarrollo de aplicaciones Java EE, acortando los ciclos y reduciendo el coste total de propiedad.
Puede proteger su aplicación empresarial mediante anotaciones o, si lo prefiere, utilizando descriptores de despliegue. En el caso de un módulo web, sigue siendo necesario especificar <security-constraint> en el descriptor de despliegue de la aplicación web.xml para tener restricciones de autorización, como se hacía en J2EE 1.4. En el entorno Java EE 5, las anotaciones relacionadas con permisos únicamente se definen para módulos EJB. Para obtener información sobre la seguridad de EJB, consulte Protección de EJB