关于权限系统的设计

貌似很多权限系统都用到User Role Permission Resource, 但我觉得只要User Role Resource就可以了，User对Resource的访问权限通过其Role来控制就可以了，为什么还要再通过Permission这层来控制，感觉没多大必要，（比如上次看到有个springside的Acegi扩展就是多了Permission），请问banq大哥，这样做有什么好处，会更易于权限系统的扩展么？如果是，为什么会易于权限系统的扩展？能不能举个例子？^_^