C/S下权限设计问题,nio问题？

banq，您好！
　　我看了一下您写的《java系统实用开发指南》一书，我看了下nio这章
您认为客户端必须交替的注册读和写，但这样根本无法满足需要啊，我不可能只有在读了之后才写，也不可能只有在写了之后再读，nio的最初设计者也不可能是这种逻辑（我认为，也许我错了），其实做为客户端，我们只是想它在我想写的时候可以写，不写的时候可以监听读，不知道您有什么见解？
　　另一个想请教一下，我现在在设计一个权限管理系统，是基于c/s和b/s模式的，有个问题就是在c/s模式下，客户的一次调用，我以什么方式来处理它的权限为好？有以下几点困惑：
　　１、我认为权限的判断应该放在服务端，因为只有这样才能控制我的服务端的安全性，问题：我不能让一个用户每次调用都传用户名和密码！有什么好的建议？
　　２、采用jaas是不是一个好的方法？每次调用都传入用户名和密码！