Inhalte und Anwendungen unterliegen einer Zugangskontrolle, sie sind entweder für alle Besucher/Benutzer zugänglich oder einer bestimmten Benutzergruppe zugeordnet. Idealerweise ist die Zugangskontrolle vom Code vollständig getrennt, was ein Höchstmaß an Sicherheit bietet. Gleichermaßen vereinfacht das den Code, der Entwickler kann sich auf das Wesentliche konzentrieren.

Die Trennung der Zugangskontrolle vom Code wird dadurch erreicht, dass die Policy über der Konfiguration angesiedelt ist, so ist auch die Policy vom Code getrennt. Eine Policy regelt das Aushandeln von Inhalten, auch bekannt unter dem Begriff Content Negotiation.