权限系统的操作流程:

用户和角色之间: 多对多关系
一个用户可以拥有多个角色,
一个角色可以赋给多个用户.

角色和权限之间:多对多关系
一个角色可以拥有多个权限,
一个权限可以赋给多个角色.

权限表达式:ssh.web.action.EmployeeAction:delete从而何来.
自定义一个注解标签:RequiredPermission,用来贴在Action类中需要权限才能访问的方法上.

使用注解:

加载权限操作:
1):扫描BaseAction的所有子类.
2):获取每一个Action类中的所有方法.
3):并判断Action的方法上是否存在RequiredPermission注解,如果存在,获取该注解对象.
4):每次遇见RequiredPermission的方法,都创建出Permission对象,并设置Permission对象中的name和expression.
name属性: 获取RequiredPermission注解的value属性设置.
expression属性:得到当前方法所在类的全限定名:方法名称.
5):调用permissionDAO.save(权限对象);

操作一个功能,如删除员工:
1):登陆系统:
1):把登陆信息存储到session中.
2):查询出当前登陆用户所有的权限表达式,并存储到session中.

2):操作具体的某一个功能.
1):判断当前登陆用户是否是超级管理员,若是直接放行,否则GOTO 2.
2):判断当前请求的Action方法上是否存在,RequiredPermission标签,如果没有(不需要权限),直接放行,否则GOTO 3.
3):获取当前请求Action方法对应的权限表达式:ssh.web.action.EmployeeAction:delete.
4):s.
存在: 直接放行