如何使用shiro基于角色来管理用户权限

权限分配要看你自己设置什么样的用户， 能拥有什么权限，如：管理员能浏览所有的页面， 能进行增删查改，普通用户只能浏览公开的页面，只能查看，和修改等。 数据库表设计方面，建议你增加一张权限表， 权限表和用户表建立关系

RBAC（Role-Based Access Control，基于角色的访问控制），就是用户通过角色与权限进行关联。简单地说，一个用户拥有若干角色，每一个角色拥有若干权限。这样，就构造成“用户-角色-权限”的授权模型。在这种模型中，用户与角色之间，角色与权限之间，一般是多对多的关系。（如下图）

在我们的 oAuth2 系统中，我们需要对系统的所有资源进行权限控制，系统中的资源包括：

权限

系统的所有权限信息。权限具有上下级关系，是一个树状的结构。如：

系统的具体 *** 作者，可以归属于一个或多个角色，它与角色的关系是多对多的关系

为了对许多拥有相似权限的用户进行分类管理，定义了角色的概念，例如系统管理员、管理员、用户、访客等角色。角色具有上下级关系，可以形成树状视图，父级角色的权限是自身及它的所有子角色的权限的综合。父级角色的用户、父级角色的组同理可推。

---