前端校验

（从前端或者从token里面拿一下），看一下用户有没有这个页面的权限（但是一般不用，因为nodejs也可以写后端，但是放到前端去校验不安全）

 

后端校验

需要梳理敏感数据接口，将这些接口加上权限校验。先看登录人有没有访问这个接口的权限，如果有，就执行逻辑，返回数据，如果没有，报个错误，或者返回个空数据。

后端校验实现方案：

（敏感接口的管理表、角色和敏感接口的关联表。暴露一个接口，去看这个人(token) ，有没有权限去访问这个接口。）

不能用网关，网关不能掺杂特定的业务逻辑(if eise)，因为他属于公用型的。

1. 用自定义注解+aop（切面）

2. 用springmvc web拦截器（拦截add的，放行exclude的）