固定权限：

用户 + 角色

动态权限：

用户 + 角色 + 功能

session无状态：这一次请求和上一次请求是没有任何关系的，互不认识的，没有关联的。

session有状态：每次我们访问一个页面，就会自动生成一个session_id 来标注是这次会话的唯一ID，同时也会自动往cookie里写入一个名字为PHPSESSID的变量，它的值正是session_id，当这次会话没结束，再次访问的时候，服务器会去读取这个PHPSESSID的cookie是否有值有没过期，如果能够读取到，则继续用这个session_id，如果没有，就会新生成一个session_id，同时生成PHPSESSID这个cookie。由于默认生成的这个PHPSESSID cookie是会话，也就是说关闭浏览器就会过期掉，所以，下次重新浏览时，会重新生成一个session_id。

权限需要在controller类方法上面放注解，一共两个注解，我忘记咋拼了