JAAS中的认证与授权问题

在WEB应用中,通过应用服务器提供的登陆模块,比如databaseloginmodule,就不用个人实现登陆模块,然后按照应用服务器配置好,在web.xml中配置好了login-config登陆模式,这样就可以完成了用户登陆的认证了,而且借助JAVA中的安全注释,可以设置业务方法的访问权限,这些访问权限名是针对web.xml中或者ejb-jar中的安全角色设定的!,这样就保证了用户能够对业务方法进行权限控制,所有操作都是通过应用服务器完成的,那么是不是我们在这里就不用写任何的代码,按照在JIVEJDON中的代码那样完成权限控制就可以了,完全采用声明式的,不用与业务代码耦合,而且其他类似的系统都可以采用这样的方式呢?