Beim Anwendungsentwurf muss daher zwangsläufig die Frage gestellt werden, wie sich Geschäftsprozesse im unsicheren Internet sicher anbieten und nutzen lassen. Es muss also auch geklärt werden, wie eine permanente Abstimmung zwischen dem Anwendungs- und dem gewünschten Sicherheitsmodell erfolgen kann. Die Spezifikationen von Java 2 Platform Standard Edition (J2SE) sowie Enterprise Edition (J2EE) legen die derzeit wichtigsten Sicherheitsarchitekturen im Kontext von Java fest. So stellt Version 1.4 von J2SE umfassende Funktionen für Authentifizierung, Autorisierung und Verschlüsselung bereit, während J2EE diese Aspekte im Hinblick auf mehrschichtige Applikationen erweitert.

Seit der Version 1.2 der J2SE (JDK 1.2) wird ein feingranulares Sicherheitsmodell unterstützt. Dies bedeutet, dass jeglicher auszuführende Java-Code mit einer „Security Policy“ assoziiert werden kann. Sie definiert eine Menge von Rechten, die dem Code gewährt werden sollen, zum Beispiel der Zugriff auf eine bestimmte Ressource. Eine Überprüfung erfolgt durch die Java-Laufzeitumgebung. Die seit kurzem verfügbare Version 1.4 der J2SE (JDK 1.4) bringt eine neue Qualität in Bezug auf die Vollständigkeit der Sicherheitsarchitektur. Es ist möglich, elaborierte Sicherheitskonzepte ausschließlich mit den vom JDK 1.4 vorgegebenen Mitteln umzusetzen:

Der Java Authentication and Authorization Service (JAAS) verfeinert das Policy-basierende Sicherheitsmodell dahingehend, dass auf Ebene von authentifizierten Benutzern Rechte vergeben werden können. Ferner wird das Konzept von Login-Modulen eingeführt, durch die Schnittstellen für die Anmeldung standardisiert werden.

Die Java Cryptography Extension (JCE) erweitert die mit dem JDK 1.2 eingeführte Java Cryptography Architecture (JCA). JCA zusammen mit JCE definieren umfangreiche Frameworks für die Bereiche Verschlüsselung, Schlüsselerzeugung und -verwaltung, Zertifikate sowie digitale Signaturen.

Die Java Secure Socket Extension (JSSE) stellt Funktionen bereit, mit denen eine sichere Kommunikation im Internet erfolgen kann. Hierzu beinhaltet JSSE insbesondere eine Implementierung der Protokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security).

Insgesamt lässt sich sagen, dass mit dem JDK 1.4 umfangreiche Sicherheitsfunktionen zur Verfügung stehen. So ist es etwa möglich, mit den Bordmitteln des JDK 1.4 Public-Key-Infrastrukturen (PKI) technisch in einer plattformunabhängigen Weise aufzubauen. Ein weiterer Pluspunkt liegt in der einfachen Erweiterbarkeit. Auch wenn das JDK 1.4 eine Reihe von Basisalgorithmen bereits mit ausliefert, können alternative Implementierungen von Dritten nahtlos in die Sicherheitsarchitektur integriert werden.