A plataforma J2EE disponibiliza diversos mecanismos para que uma aplicação faça a autenticação de seus usuários. Cabe ao desenvolvedor escolher se vai usar os mecanismos padronizados pela plataforma ou se vai desenvolver seu próprio código de autenticação.

Recomenda-se que as aplicações usem os mecanismos padronizados, já que isto:

• Permite que um sistema seja dividido em várias aplicações, sem que seja necessário que o usuário realize o login em cada uma delas(single-sign on);
• Permite que os desenvolvedores se concentrem no desenvolvimento da lógica de negócio, sem se preocuparem com os aspectos relacionados à autenticação;
• Garante maior abrangência dos controles de acesso, já que estão integrados à plataforma, não dependendo da aplicação para fazer a verificação das permissões de acesso.
• Permite padronizar os mecanismos de autenticação para todas as aplicações, independente de seus desenvolvedores.
• O código de autenticação já foi submetido a diversos testes, em diversos ambientes, por ser padrão a uma plataforma amplamente utilizada.

Além dos mecanismos padrão do J2EE, existem frameworks especializados em autenticação e controle de acesso de usuários. Um exemplo é o framework Acegi Security, disponível na URL: www.acegisecurity.org.