权限控制可以说是每个项目的必备基础模块，不讨论RBAC和ACL，只是自己的想法。 

我眼中的权限控制：

作用：用于控制功能或资源的访问，仅此而已。

无论是SpringMVC的拦截器，还是Struts的拦截器，拦截地址栏操作都是那么的简单。 

问题在于如何将权限控制在页面级别，例如，按钮，某个资源元素等。

关于命名约定的问题：

例如添加功能：

@RequestMapping(value="http://www.mamicode.com/role/add.jhtml",RequestMethod=GET) 

@RequestMapping(value="http://www.mamicode.com/role/add.jhtml",RequestMethod=POST)

这两者的请求路径是可以相同的。

这意味这什么？意味着只要定义好命名规则，动作级别的请求是可以被很好地拦截。

关于页面控制的问题：

无论你是JSP还是FreeMarker，你是不是都可以搞一个自定义标签，判断是否有权限访问，与是否显示呢？ 

关于细粒度权限控制的考量