i realm sono qualcosa di diverso; in due righe: anziché definire i meccanismi di sicurezza "dentro" ogni singola webapp, i realm ti permettono di definirla a livello di container (quindi per tutte le webapp). Essi si basano sul concetto di ruolo: ne puoi definire quanti ne vuoi. Ogni webapp poi, attraverso il file web.xml, definisce quali sono le risorse che vanno protette e quali ruoli sono abilitati ad accedervi. Gli utenti poi vengono definiti con username/password e associato uno dei ruoli disponibili.
I realm sono implementabili in diversi modi (senza che cambi lo scdenario descritto): via DB, file XML, JNDI e così via...

Probabilmente li puoi adattare al tuo caso specifico, ma lo vedo unpo' forzato...

ciao