qq_46130027的博客

实现核心是基于Spring Security提供的@PreAuthorize注解，这个注解可以添加在方法上，基于表达式判断，是否有权限。权限表达式有两种，一种是基于角色标识的校验，一种是基于权限标识的校验。第三段逻辑则会遍历每一个权限，判断这个权限对应的菜单，最终在这个用户上有没有角色去满足。有的时候不是校验是否有权限，而是判断是否有某个角色，则可以使用hasRole这个方法。接着判断是否是超级管理员，如果是，也是return true。首先是判断权限是否为空，为空则说明已经有权限，返回true。

Spring Security是用来定制基于Spring开发的应用的安全框架，它非常强大、可以帮助我们实现应用认证、授权管理。Spring Security是用来帮助我们实现应用的安全认证、登录鉴权授权的这样一些功能。它是一个强大的、高度定制化的认证和权限控制的框架。它也是一个基于Spring开发的事实上的安全标准。如果只是想实现一个简单的web应用，shiro更加的轻量级，学习成本也更低。