权限：功能级，数据级，粗粒度，细粒度

所谓操作权限 就是有或者没有做某种操作的权限，具体表现形式就是你看不到某个菜单或按钮，当然也有的是把菜单或按钮灰掉的形式。实际上它的实现机制比表面上看到的要复杂得多，比如：我们从浏览器访问过一个地址之后，实际上这个URL就会在历史中存在，这时就会存在一种可能，有的人虽然没有权限，但是他知道怎么访问的URL，如果他再有一定的技术基础，那么通过猜测，有时候就可以得到真正的操作的URL，这个时候如果操作权限限制做得不到位，那么他就可能做他非授权的事项，所以操作权限一般都在显示界面做一次控制，过滤没有权限的操作菜单或按钮，另外在真正执行操作时，还要进行一次权限检查，确保控制非授权访问。

功能级权限，有大有小。大的可以直接包括一个业务模块，小的可以是一个按钮。一般的功能级权限一般包括：菜单、url、按钮 。

数据级权限主要是针对访问数据的可见范围。一般包括以下几类：当前操作人可见、部门可见、部门及子部门可见……等。数据级权限目前常用的做法就是在业务模块的表中增加操作人字段（如：creator），然后通过aop或者是在基类的查询、查看、更新、删除中，把creator字段值与可见范围进行特殊处理。

用一句话概括就是：

功能级权限意思是你能不能干某件事。数据级的权限是指你所能操作的事物的范围限制。 

粗粒度和细粒度例子：

系统有一个用户列表查询页面，对用户列表查询分权限，如：粗颗粒管理，张三和李四都有用户列表查询的权限，张三和李四都可以访问用户列表查询。

进一步进行细颗粒管理，张三（行政部）和李四(开发部)只可以查询自己本部门的用户信息。张三只能查看行政部 的用户信息，李四只能查看开发部门的用户信息。细粒度权限管理就是数据级别的权限管理。

如何实现粗粒度和细粒度权限管理：

如何实现粗粒度权限管理？

粗粒度权限管理比较容易将权限管理的代码抽取出来在系统架构级别统一处理。比如：通过springmvc的拦截器实现授权。

如何实现细粒度权限管理？

对细粒度权限管理在数据级别是没有共性可言，针对细粒度权限管理就是系统业务逻辑的一部分，如果在业务层去处理相对比较简单，如果将细粒度权限管理统一在系统架构级别去抽取，比较困难，即使抽取的功能可能也存在扩展不强。

建议细粒度权限管理在业务层去控制。比如：部门经理只查询本部门员工信息，在service接口提供一个部门id的参数，controller中根据当前用户的信息得到该 用户属于哪个部门，调用service时将部门id传入service，实现该用户只查询本部门的员工。

实现方式：

基于url拦截的方式实现

基于url拦截的方式实现在实际开发中比较常用的一种方式。

对于web系统，通过filter过虑器实现url拦截，也可以使用springmvc的拦截器实现基于url的拦截。

使用权限管理框架实现

对于粗粒度权限管理，建议使用优秀权限管理框架来实现，节省开发成功，提高开发效率。

shiro就是一个优秀权限管理框架。

权限框架中，对于直接访问的链接在没有登录后会拦截跳转至登录界面，但是登录成功后会记录，跳转至其之前访问的链接