Безопасность, управляемая контейнером, для веб-приложений

Я совершенно не знаком с безопасностью, управляемой контейнером, и мне нужна помощь с ее настройкой в ​​моем веб-приложении.

Я хочу ограничить доступ к jsp в моем веб-приложении. Вот как я настроил безопасность в моем web.xml

<security-constraint>
    <display-name>PrivilegedConstraint</display-name>
    <web-resource-collection>
        <web-resource-name>JSP Files</web-resource-name>
        <description>All the jsp files in the web application</description>
        <url-pattern>*.jsp</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>PrivilegedRole</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description/>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
    <realm-name>BasicRealm</realm-name>
</login-config>
<security-role>
    <description>This is a privileged role. Has access to everything in the web app</description>
    <role-name>PrivilegedRole</role-name>
</security-role>

. У меня следующие вопросы:

Какова цель realm-name в элементе login-config? Где мне настроить имя пользователя и пароли и сопоставить пользователей с ролями?

Когда я пытаюсь получить доступ к jsp в моем веб-приложении, меня спрашивают имя пользователя и пароль. Что мне там дать? И как работает этот механизм безопасности?

Я совершенно новичок в безопасности, поэтому буду благодарен, если кто-нибудь может указать мне на хорошую статью, в которой объясняются основы настройки безопасности и то, как она на самом деле работает?