权限控制系统概述

权限概念中，我认为原子元素只有三种：用户、功能权限、数据权限。其他的角色、用户组之类的东西都是为了解耦用户与其他元素之间关系而引入的，或者为了方便起见，都是一个中间变量而已。

1.功能权限。
针对某个一功能，是否能访问。比如此用户是否能访问读取客户资料的功能。这个权限比较基础，不是yes就是no，所以有人又称Y/N权限。
2.数据权限。
在允许访问某一功能权限的基础上，控制可访问的数据范围。比如用户能访问读取客户资料的功能，但他只能访问本人录入的，或分配给本部门的客户资料。

我自己开发了一个权限管理系统，对于功能权限，是可配置的，这一点跟JAAS在web.xml配置是类似的；对于数据权限，我采用可插入的SQL过滤条件来处理。(我以前所在的项目的经验证明，如果在读取出所有数据再一条条检查权限，性能会很差。)