Il terzo meccanismo di sicurezza (il gestore della sicurezza) della piattaforma Java parte dopo aver caricato la classe nella virtual machine e averla controllata con il verificatore. Un gestore della sicurezza è una classe che controlla l'ammissibilità di una specifica. Tra l'altro, un gestore della sicurezza controlla la maggioranza delle azioni del thread in corso.
Per le applicazioni Java, l'impostazione predefinita non prevede gestori della sicurezza. E' possibile però installare un gestore specifico chiamando il metodo statico setSecurityManager
della classe System
e, se si tenta di installare un secondo gestore, l'operazione ha successo solo se il primo accetta di essere sostituito. La ragione di questo è perche altrimenti anche applet non regolari potrebbero installare un propio gestore. Pertanto, anche se è possibile avere più di un caricatore di classi, ogni programma Java può avere un solo gestore della sicurezza.