对于springboot来说，可以利用一些框架实现rbac，例如spring security等。但是做项目的时候，如果要使用组件，不仅仅需要考虑组件能带给我们什么，而且还要考虑组件里面那些东西是不想要的，以及学习成本等等。
现在我们就只需要简单实现一个基于api-页面资源-角色-用户的权限管理系统。先来看看基本的原理。

整理所有的页面资源和其依赖的api入数据库

页面资源的url固定以某个前缀开头，这样就可以利用Spring中的过滤拦截器对该类url进行过滤。api包含url和method两个部分

在过滤器的init方法中一次性加载所有的资源和api信息

init方法在整个过滤器生命周期中只执行一次，这样做可以实现对页面资源的数据库查询只有一次。然后利用几个hashMap将这些对应关系存储起来即可。

在定义角色的时候，给角色分配页面资源

角色与页面资源的对应关系是多对多，所以字段列表（点分字符串）的形式存储。

用户可以被赋予多种角色

用户与角色的对应关系也是多对多的。

用户登录的时候，将用户的角色信息存储到token中，防篡改的话可以放到服务器缓存中

在过滤器拦截到相关的请求之后，就对当前用户权限做处理，如果当前用户没有权限，就跳转到无权限界面。