请问各位大虾的登录bean是如何做的？(50分)

登录时需要从数据库中取数据，因此我建立了一个bean1来取数据和验证密码。
bean1里很多属性包括“用户权限”等都是只读的，因为是从数据库中读出。
处于运行效率考虑，我又建了一个小一点的bean2，它只负责保存用户信息，不做其它任何操作。
问题是：
1、由于bean2需要从bean1中得到数据，因此它的所有属性都将是可写的。这样做会不会影响安全性？
2、这个bean2到底有没有必要？不用它，把bean1设为session的，也能完成所有工作。
各位大虾是如何做的？

做登录，一般有两种模型。
一种是以jive forum为代表，使用令牌模型。在这种模型下，用户初次登陆之后，通过密码验证，
就会获得一个“token”(令牌）,然后再进入每一个功能模块（论坛板块）的时候都会由这个
模块自己进行检查，看要求进入者的令牌是否拥有进入或者其他操作的权限。
另一种是以Pow2ACL为代表，使用ACL模型。ACL就是Access Control List,他包含三个主要
的实体：用户,资源和角色。
资源是一张表，列出了所有的系统资源；
用户可能具有多种角色；
在另一张表中体现角色和资源之间的关系。比如对订单(资源)，办公室经理（角色）具有
察看，新增和修改的权限，而仓库发货员（角色）只具有查看的权限。
我想你可以直接使用pow2acl来完成你的工作，pow2acl就是一个现成的框架，可以自由使用
在你的工程中。
地址为：http://sourceforge.net/projects/pow2acl

thanks.
我想我现在用的是第一种方法。我的bean2就相当于一个令牌。；）
pow2acl最近的稳定版本是哪个？430？
曹大虾能详细介绍一下pow2acl吗？

我知道他，但是我没有用过pow2ACL蛮不错的，还有一些特殊功能，比如连接LDAP什么的。
他自己有一个现成的jsp GUI,用来管理资源和权限。
更多的东西，要你自己看它的文档了。下载包里就有文档。

我大概看了一下文档，e文很简单。；）
不过最近时间很紧张，没精力研究这样的好东东乐。
曹兄拜托帮我看看这两个问题：
http://www.delphibbs.com/delphibbs/dispq.asp?lid=1108928
http://www.delphibbs.com/delphibbs/dispq.asp?lid=1108964
谢先

接受答案了.