3.1 引言

几乎所有企业都有安全需求，并且拥有满足这些需求的特定机制与基础设施。可被众多用户访问，或经常在无保护的开放网络（如互联网）中传输的敏感资源，都需要得到保护。

尽管安全质量保障与实现细节可能各不相同，但它们通常具备以下部分共同特征：

• 身份认证：通信实体（如客户端与服务器端）相互证明自身代表已获访问授权的特定身份的方式。
• 资源访问控制：将对资源的操作限定在特定用户或程序范围内，以此保障数据完整性、保密性或可用性的方式。
• 数据完整性：用于证明信息未被第三方（信息来源以外的实体）篡改的方式。例如，通过开放网络接收数据的接收方，必须能够检测并丢弃发送后被篡改的消息。
• 保密性或数据隐私：确保信息仅对已获授权的用户开放访问的方式。
• 不可否认性：用于证明用户执行了某项操作，使其无法合理否认该行为的方式。
• 审计：用于记录安全相关事件并防止记录被篡改，以便评估安全策略与机制有效性的方式。

本章规定了 Jakarta EE 平台规范如何满足各类安全需求，并明确了可由 Jakarta EE 产品提供商实现的相关要求。最后，“未来展望”部分简要提及了本规范后续版本计划考虑的相关问题。