Die gewünschten Zugriffsrechte auf die Servlets müssen durch die Mechanismen des verwendeten Webservers umgesetzt werden.
Somit kann man zwischen verschiedensten Varianten selbst wählen.
Von unbegrenztem Zugriff, Basicauthentification, Kerberos oder LDAP bis hin zu
automatischem Login in Windowssysteme über NTLM ist alles möglich, wenn es der Webserver unterstützt.
Wird z.B. Tomcat als Java Container eingesetzt, kann durch einen Filter vom Waffle-Projekt der Zugriff durch NTLM und Kerberos
abgesichert werden. Es kann auch ein "normaler" Webserver wie der IIS oder Apache Webserver über die AJP13 Schnittstelle vor den Java Container geschaltet werden.
Dass das HTTPS-Protokoll eingesetzt wird, sollte selbstverständlich sein.
Die verschiedenen Servlets haben teilweise zusätzliche Möglichkeiten der Einschränkung der Rechte z.B. über den Adressbereich. Insbesondere das FrageServlet kann so konfiguriert werden, dass nur über den Webserver angemeldete Nutzer auf die Dozentenpläne zugreifen können bzw. nur jeder Dozent seinen eigenen Plan anzeigen kann. Nach Ablauf einer definierbaren Zeit wird diese Session ungültig. Alternativ kann ein verschlüsselter Parameter data zur Autorisierung an das FrageServlet übergeben werden. Hierzu kann eine individuelle Anwendung programmiert werden um z.B. aus einem Contentmanagementsystem Anmeldeinformationen zu übernehmen. Die Eingrenzung eines Seminargruppenplanes auf eine Seminargruppe ist im FrageServlet derzeit nicht implementiert.
Der Zugriff auf das PlanServlet kann auch durch einen verschlüsselten Parameter data erreicht werden, der keine Ablaufzeit hat. Dieser Parameter wird im FrageServlet als Link zur Verfügung gestellt und kann auch für iCal verwendet werden. Die folgende Abbildung zeigt dieses Prinzip.