本文只讨论两种基于角色的访问控制的不同点，不涉及权限设计的数据库设计。

基于角色的访问控制（Role-Based Access Control）可分为隐式角色访问控制和显式角色访问控制。

隐式角色访问控制：没有明确定义一个角色到底包含了哪些可执行的行为。

显式角色访问控制：也称为“基于资源的访问控制”，因为这种权限设计的粒度细化到了资源层面，资源有很多种，比如数据库表的增删查改、url、菜单、按钮等等。

来看一个隐式角色访问控制的例子：

if (user.hasRole("Project Manager")) {
    //页面显示某个按钮
} else {
    //页面不显示某个按钮
}

如果需求改变了，另外一个角色要显示该按钮，那么就必须改变上面的代码为：

if (user.hasRole("Project Manager") || user.hasRole("Department Manager") ) {
    //页面显示某个按钮
} else {
    //页面不显示某个按钮
}

那以后如果还有其他角色呢，可以想象，这种权限设计方式有多糟糕。

再来看一个显示角色访问控制(基于资源的访问控制)的例子：

if (user.isPermitted("projectReport:view:12345")) {
    //页面显示某个按钮
} else {
    //页面不显示某个按钮
}

如果现在的需求改了，那么只要在该角色对应的权限集合里面再加上"projectReport:view:12345"这一资源访问权限即可，比隐式角色访问权限需要去修改源代码要方便得多。

参考文章：http://www.thinksaas.cn/topics/0/150/150841.html

RBAC: 基于角色的访问控制(Role-Based Access Control)