对于权限管理来说，最主要的就是人员、角色、权限、资源及其它们之间的关系，权限控制就是控制当前登录的人员是否能够使用某些功能，而功能的使用其实是由URL是否可以访问、页面元素是否显示来控制的。所以，无论是什么实现方式，最终对于系统内部来说需要的只是人员和资源的映射，即当前登录人能够使用哪些资源。而权限和角色只是个名词而已，在其中只是起到一个串联的作用。

根据上文所述，数据库设计就清晰可见了，如下图：

数据库已经记录了人员和资源的关系，但是真正应用到系统中，还需要确定数据库中的资源和真实的资源的关系，另外还需要识别当前的登录人员。

当前的登录人员可以用Http Session来记录，真正有用处的其实就是UserID，这是用户访问系统的唯一凭证，而一般的系统中都是这样做的。

比较麻烦的是资源的映射关系，由于系统架构的不同，其映射的实现是不同的。在.NET Web Form中，可以使用一个基类，基类包含一个抽象属性，每一个Page需要实现这个抽象属性，并且要赋予其唯一值，这个唯一值就是页面资源标识，然后每一次加载页面时都在Page_Load之前验证人员与资源之间是否存在关系，从而控制人员对于此页面的访问权限。

而在IFPMS中使用的是SpringMVC作为Web应用框架，那么资源就可以通过拦截器进行控制。在这个系统里，定义了两个注解和两个拦截器，这两个拦截器分别用于拦截Conroller内添加了注解的Method。如果某个Method添加了登录注解，则验证Session内是否具有用户登录凭证，即UserID；如果某个Method添加了权限注解，则首先要确定当前请求为非匿名访问，即已登录，然后再验证当前登录人员是否能够访问此Method映射的Request Url，最后检查此Url是否具有ModelView，如果具有则按照ViewName取得资源列表并输出到视图。

由于视图引擎使用的是Beetl，所以通过视图引擎能够比较方便的控制资源的显隐，如果输出到视图中的资源列表内有所需要的资源Code，则显示或可用此资源，否则隐藏掉此资源或者将其置为不可用。

至此，整体的设计思路已经阐述完毕，某些细节可以参考系统源码。