1. 背景

问：如何更好的理解权限系统？如何结合Shiro来理解权限系统？

2.详情

2.1 人-》角色-》权限-》（具体的）菜单（和URL等）

2.2 如何理解权限系统

其实从右向左看上图，就是“组”的进阶。

菜单（比较具体的事物）的组的抽象就是权限（抽象的概念）；权限的组就是角色；角色的组（也可能一个人仅仅只有一个角色）的就是人（具体的人）；
不过，你也可以这么理解权限：权限就是菜单（能够看到的）+一些URL（URL一般用户不太容易看到的或者不太懂的）；
不懂权限的，都会说给我开通某个菜单，其实菜单背后隐藏了很多URL的；

Shiro中的@RequiresPermissions代表的就是菜单或者URL；

shiro注意点：
1.权限要设置在具体的Controller上面，通过注解；
但是这说明了菜单和URL是需要保护的，是具体的权限代表，
另外，shiro中一般的url都要设置权限保护的，除非登录，登出，发送验证码的不需要；还有一些你不需要保护的，都不用设置；