В соответствии со спецификациями Java EE 6 (и в руководстве по Java EE 6 глава Обзор безопасности Java EE ):
Безопасность компонентов обеспечивается их контейнерами
Таким образом, используя стандартные концепции безопасности, нецелесообразно информировать ваше веб-приложение о сферах и других функциях, которыми должен управлять контейнер.
Теоретически, есть способ достичь своей цели, но он очень сложный, и в конце концов он даже не полностью независим от контейнеров. Этот способ заключается в разработке собственной JAAS (службы аутентификации и авторизации Java) и ее развертывании в контейнере перед развертыванием приложения.
Дополнительную ссылку вы можете найти в этом Учебном пособии по JAAS , из которого я извлекаю следующие строки, поясняющие концепцию, которую я кратко изложил выше:
Безопасность на уровне системы определяется в терминах групп пользователей, называемых
Роли, и с точки зрения определения соответствия привилегий безопасности, называется
Realms. Безопасность на уровне приложений состоит из групп пользователей и
Realms.
На уровне приложения в разрешениях безопасности также перечислены
различные компоненты приложения, доступные каждой группе пользователей
в каждом Царстве. Таким образом, когда приложение развернуто, его приложение
уровни и роли уровня сопоставляются с областями и ролями уровня системы
определено на сервере.