今天遇到一個問題我有一個系統(tǒng),是基于角色的權(quán)限控制.前端自然就是根據(jù)角色來控制應(yīng)該顯示的視圖.但是為了防止別人直接用httpclient訪問,那么后臺肯定也要對相應(yīng)的權(quán)限進行控制.進行交互時,我能知道的只有用戶是誰從而我可以知道的他的角色.那么我想知道在代碼層級的控制是怎么控制的.如何控制某個角色只能訪問一類url?我的想法是1.后臺需要維護整個系統(tǒng)的url(即提供的接口)2.維護系統(tǒng)所需要使用的視圖(菜單,按鈕等,因為接口的使用與視圖基本綁定)3.視圖和角色綁定,用戶和角色綁定這樣做就很麻煩1.維護整個系統(tǒng)的url工作量超大2.維護視圖對應(yīng)的接口URL工作量也超大3.基于資源的RESTFUL接口有很多在url上的參數(shù),正則會比較復(fù)雜,情況較多后來,我看到了SHIRO中可以這樣進行權(quán)限控制在接口中,如springmvc接口@RequireRoles("admin")@RequestMapping("/{id}")public void get(){   xxx}如何我可以這樣,直接接口所需要的角色使用Annotation在接口層處攔截,工作量就大大減少.但是目前看到的方案這種的role都只能hardcode.不能從數(shù)據(jù)庫動態(tài)獲取.所以問題有3個.1)大家這種情況是怎么處理的2)我的工作量十分大的方案是否合理?是否有改善的方法3)shiro有可能在接口層處直接進行角色權(quán)限的控制并且所需要的角色從數(shù)據(jù)庫中獲取嗎?各位大俠,感激不盡!------以下補充-----------前后端通過token驗證這是肯定的,我想問的其實是token驗證通過之后那我手上的數(shù)據(jù)有1.當前訪問的URL2.當前用戶,當前用戶的角色我是覺得針對角色去維護URL實在是比較麻煩.來想問問有沒有更好的解決方案