Zabezpieczenia zasobów aplikacji WWW mogą być kontrolowane przez kontener lub samą aplikację. Specyfikacja Java EE (wcześniej nazywana J2EE) pierwszy wariant określa mianem zabezpieczeń zarządzanych przez kontener (ang. container-managed security), a drugi nazywa zabezpieczeniami zarządzanymi przez aplikację (ang. application-managed security). Tomcat zapewnia kilka różnych metod obsługi zabezpieczeń przy wykorzystaniu wbudowanych mechanizmów, które reprezentują zabezpieczenia zarządzane przez aplikację. Jeśli dysponuje się zestawem serwletów i stron JSP mających własny mechanizm logowania, w tym przypadku można mówić o zabezpieczeniach zarządzanych przez aplikację. W obu typach zabezpieczeń użytkownicy ...