Un domaine de sécurité se compose de configurations pour l'authentification, l'autorisation, le mappage de sécurité et l'audit. Il met en œuvre la sécurité déclarative Java Authentication and Authorization Service (JAAS).

L'authentification consiste à vérifier l'identité d'un utilisateur. Dans la terminologie de la sécurité, cet utilisateur est appelé "principal". Bien que l'authentification et l'autorisation soient différentes, de nombreux modules d'authentification inclus gèrent également l'autorisation.

L'autorisation est un processus par lequel le serveur détermine si un utilisateur authentifié a la permission ou les privilèges d'accéder à des ressources spécifiques dans le système ou l'opération.

Le mappage de sécurité fait référence à la possibilité d'ajouter, de modifier ou de supprimer des informations d'un principal, d'un rôle ou d'un attribut avant de transmettre les informations à votre application.

Le gestionnaire d'audit vous permet de configurer les modules fournisseurs afin de contrôler la manière dont les événements de sécurité sont signalés. Si vous utilisez des domaines de sécurité, vous pouvez supprimer toute configuration de sécurité spécifique de votre application. Cela vous permet de modifier les paramètres de sécurité de manière centralisée. Un scénario courant qui bénéficie de ce type de structure de configuration est le processus de déplacement des applications entre les environnements de test et de production.