安全性是任何企业应用系统的基本组成部分，企业应用需要约束访问应用系统的用户和控制应用系统用户所能完成的操作类型。而以往的企业应用系统往往把安全内嵌入应用系统中，使得对安全管理复杂化，本论文从把安全与企业应用系统分离的思想并由此提高安全功能的可重用性为出发点，简化应用系统的安全功能的复杂度，使得应用系统只需关注其业务逻辑的具体实现，而把安全留给底层系统去实现，把安全看作是系统服务，通过系统提供安全服务、应用系统配置安全需求来实现企业应用系统的安全。 J2EE应用服务器的安全服务正是基于上述思想，提供了基于声明性的安全模型和基于程序性安全模型。J2EE规范为EJB和Web组件定义了简单的、基于角色的安全性模型。声明性安全模型体现在，组件使用标准的XML安全描述符描述安全性角色和许可，而不是将安全性嵌入在业务组件中。因此，它将安全性从业务级代码中隔离开，因为安全性只是为部署组件添加的新功能，而不是业务逻辑层面的内容。开发者借助于标准的J2EE部署描述符能够为J2EE应用提供基于应用安全性需求规范的保护。程序性安全模型体现在，当J2EE应用服务器的声明性安全服务无法满足企业应用的需求时，也可以由应用系统开发者和部署者自定义相关安全性要求，J2EE应用服务器提供了相关的编程接口。