什么是rbac

以角色为基础的访问控制（Role-based Access Control, RBAC）

基于权限的访问控制（Role Based Access Control），由于需要把权限抽象出来，做成taglib，所以最近看了一点理论，主要有：

http://csrc.nist.gov/rbac/
http://www.oone.com.cn/article/security.htm
http://www.jdon.com/jive/article.jsp?forum=46&thread=10122
http://www.jdon.com/jive/article.jsp?forum=46&thread=7309
及其他jdon里的一些文章。

具体实现的时候，大家作的都不太一样，而且对这个理论的认同度好像也有差异。

我现在疑惑的是：
1 现在有没有一套经过实践证明好用的基于java语言的RBAC实现，可以直接使用的。

2 sun的jaas是不是基于RBAC思想设计的，具体实现时，它对这样的授权（比如谁能添加，谁能修改什么栏目的什么记录，）支不支持，如果支持，sun的jaas在这方面有没有参考实现，忘了在什么地方看的，说china