WebサーバからダウンロードしたJavaクラスは、サンドボックスというセキュリティ機構の管理下に置かれ、ファイルアクセスなどのローカルコンピュータの資源へのアクセスが制限されます。
しかし、署名（権限）を施されたJavaクラスは、このサンドボックスの管理下に置かれないため、ローカルコンピュータ資源へのアクセスが可能となります。
プレインストール型Javaライブラリは、ローカル資源へアクセス（ダイナミックライブラリのロードやファイルへのアクセス）を内部的に行うため、プレインストール型JavaライブラリのAPIを呼び出しているクラスに署名を行うことが必要です。

また、セキュリティポリシという定義ができます。セキュリティポリシとは、実行するコードが実行可能であるか、またはアクセス可能なファイルのパスの制限を定義するものです。Javaクラスは、実行される前にセキュリティポリシに基づき、どのように実行するか、どこまでローカル資源のアクセスが可能であるかを確認します。

セキュリティ機構のイメージ図を以下に示します。