j2eeでは認証の仕組みがあらかじめ用意されているため、アプリケーション側で作り込む必要は無い。Servletではweb.xmlでBASIC認証やFORM認証の設定ができる。

結構細かく設定できるのだが、 - が何に使われるのか謎だった。
BASIC認証のダイアログに表示される「アクセスしようとしている保護された領域（realm）名」を設定するらしい。APサーバ独自の設定ファイルと関連していると思って必死で探してしまった。
FORM認証では設定しても使われることはない。