Java 使用角色保护jax-rs

我目前正在研究如何保护jax-rsweb服务。 以下URL非常有趣：。 我特别关注基于注释的web服务安全性。为每个方法定义允许的角色看起来非常简单。 但是，我有4个与此主题相关的问题：

定义和映射角色

我想知道：在使用基于注释的安全性时，在哪里定义用户的角色，以及如何将用户映射到角色？ 如果有人能给我举一个代码示例，那就太好了，我找不到一个

图书馆/框架

您知道有哪些库/框架可以用于保护jax-rs服务吗？我没有印象，例如，ApacheShiro真的适合web服务？我不想使用SpringSecurity，它对我现在所做的有点太重了

数据库设计

另外，对于使用RBAC的身份验证/授权方案，用户具有角色，角色具有分配的权限，您如何在数据库级别上进行设计

权限

在研究RBAC原则时，您拥有分配给角色的权限。但是，使用基于注释的安全性，您只能在角色级别定义对方法的“访问”。如何检查用户是否具有权限？或者，在使用RBAC原则时，您是否只使用角色而完全忽略权限

感谢您提供的任何意见

更新1：如果您自己在数据库中而不是在web.xml中定义用户及其角色，那么使用SecurityContext检查用户是否在角色中，而不是在web.xml或批注中，我的假设是否正确？ 这将允许您使用自己的securitycontext对象，该对象可以调用数据库以验证角色成员身份