J2EE应用服务器作为一类新型的中间件，为构件提供运行支撑环境，包括一组管理构件共性功能的公共服务。安全服务是目前主流J2EE应用服务器提供的重要公共服务之一。J2EE现有的认证和授权模型是一种基于角色的、支持声明型和编程型的安全模型，具有简单、灵活、高效的优点，在封闭系统下可以为J2EE应用服务器上的构件和资源提供很好的安全支撑，但是这种模型不支持代理授权，安全粒度不够细，无法解决开放、动态的Internet环境下跨组织认证和授权的问题。 信任管理是安全领域内分布式认证和授权的一个重要研究成果，信任管理模型使用统一的语言来描述组织内部和组织之间的信任关系，使用代理描述跨组织的授权，具有很好的扩展能力。信任模型和信任管理语言也是学术界研究跨安全域认证和授权的热点。 本文阐述了J2EE的权限管理的涵义，借鉴信任管理的思想将代理授权引入J2EE，在保留J2EE现有权限管理模型(即J2EE现有的认证和授权模型)的基础上，提出了支持代理的J2EE权限管理模型，为构件提供代理授权的支撑机制，并在北大自主研发的构件运行支撑平台PKUAS上实现；以此为基础，针对某些应用系统在安全和性能之间有调节和权衡的需求，提出了J2EE的权限管理与性能权衡模型，为构件提供权衡的支撑机制，并给出了两个具体的权衡方案。