码农镖局

前面把RBAC的权限系统设计过程都讲清楚了，现在就来实现它。大致分这么几个步骤：1、先定义出完整的权限系统表结构；2、实现Entity、Dao、Service等类代码；3、实现自定义拦截器

RBAC类型的权限，本质上是一种对资源访问路径的控制，且具有典型的树型层次结构。而树型结构，天然地就有父结点和子结点的关系以及区别。

上一次把DAC、MAC、PBAC这三个都一口气介绍完了，本想一口气把RBAC也说完。想了想，饭还是要一口口吃，一次吃太多会消化不良，所以现在再来说下RBAC。

在对Spring Security稍做了解之后，可以知道，Spring Security其实只是一个实现认证授权的框架，封装了很多实现细节。但也有一些不方便的地方。

如果能够配置一个「角色模板」，再通过这个模板来配置其他角色，岂不是更简单？Spring Security虽然没有角色模板，但可以通过「继承」的方式来「曲线就国」。

在前面的内容中，几乎没有对Spring Security真正的核心功能，也就是认证授权做什么说明，也只是简单演示了一些admin角色登录。那么在做完前面这些铺垫之后，就需要接着来说说这一块了。

MySQL保存cookie记录虽然方便，但是目前主流应用都是用NoSQL的。之前Spring Security并不支持NoSQL，但这个问题对于一个爱钻研的码农来说应该只是个小CASE。

经常上网的人都应该有这样的体验：很多网站或者APP只需要第一次登录时输入用户名和密码之后，后面很长一段时间内就不需要再次输入密码了。这确实是一个非常好的体验，不然每次都让人输用户名和密码就太麻烦了。

除了login()方法能成功，另外两个都失败，并不是因为代码问题，而是Spring Security默认是通过Web页面来实现页面逻辑跳转的。