请问一下：在filter中怎么获取session，它不是HttpServletRequest，而是ServletRequest？？

既然大家说的这么清楚，为什么不做一个ＯＰＥＮ　ＳＯＵＲＣＥ的实现呢．来这里发表意见的大多是牛人吧，像版主，板桥里人之类的．
这里不是大学校园好吧，不需要什么意见，需要实实在在的东西．开发这样一个通用的东西对于在座的各位应该是举手之劳吧，但可以避免多少重复开发呢．真正懂ＲＢＡＣ的就去学习ＪＦＯＸ，做个东西出来吧，

我刚才看了你们说的sourceforge上的pow2acl的代码，很简单很粗糙的，我想凭中国随便找个有３年经验的高级程序员设计出来的都比它好

mark

mark!

个人观点: 曹晓钢 的写的比较明确,而且设计也比较到位,
但是我觉得技术上的设计要和实际使用相结合,设计的越复杂的
,使用和维护也越复杂.
我最近设计的一个项目的权限和 曹晓钢 的比较相近,希望多交流

组织结构不一定是树状，有时是网状的，这点请注意。绝对通用的权限系统是不太现实的，很多时候是一种取舍。或者利用规则引擎，把部分规则代码等到实施的时候再确定，其实也不是所有问题都能解决，只是弹性大了而已。

经典的文章，值得收藏！

请问代文龙先生，您的文章里不是有张关系图吗？可以把您的关系图贴出来吗？一张图比说话要容易理解的多，谢谢！

一个Operator究竟是由ResourceType和Privilege构成，还是由Resource实例和Privilege构成？

不错，收藏了。

simonlang 你好！
对于你的帖子：
我们现在做的项目，开发考虑权限部分很多，很充分；
1）系统权限
2）数据项权限
3）业务对象相关权限
但最后觉得过于复杂，可操作性
就差了；所以一个实用安全的
权限系统不是仅仅考虑这些
技术层面就够的！

我很有感触，因为我现在接触的一个项目就是这样，角色、组、各级权限什么都有，但是权限管理界面可操作性非常差，管理起来非常头疼，我们想改进前台的管理界面，不知道你有这方面的例子可以参考吗？

大家可以看一下这个贴子

http://bigmouthz.cnblogs.com/archive/2006/05/10/396645.html
以及
http://www.whsdn.net/bbs/?p=thread&ForumID=29&ThreadID=109

是小弟的收集或者总结 系统对大家能有所启发

好贴子