权限控制，都是某个主体对某个客体需要实施某种操作，而系统对这种操作的限制就是权限控制。基于url的访问控制是最常见的。

垂直权限管理

用户----角色----权限，基于角色的访问控制。在配置权限时，应当使用最小权限原则，并使用默认拒绝的策略，只对有需要的主题单独配置允许的策略。

---

水平权限管理（用户组概念）

OAuth是一个在不提供用户名和密码的情况下，授权第三方应用访问web资源的安全协议。OAuth与OpenID都致力于让互联网变得更加开放。OpenID解决的是认证问题，OAuth则更注重授权。认证和授权的关系其实是一脉相承。在OAuth1.0中涉及3个角色，分别是：Consumer消费方（Client）、Service Provider服务提供方（Server）、User用户（Resource Owner）

---