权限模块设计及使用

    最近一直在做权限那一块，越做越乱，有很多疑问，想和大家探讨交流。希望大家不吝赐教、

    1、项目用的是spring security框架，在用这个框架的时候，配置文件的配置就花了很长时间，然后就是将项目中的所有url都进行控制，输入数据库或配到配置文件中。

    2、在做的时候，出现了分歧，老大的意思是只控制到菜单级别，有权限就可以看到菜单，没权限就不能看到菜单。但是默认所有的url都是可以访问的，只是菜单可见度不同。

我的理解是：如果不控制到url，那怎么能保证安全呢？用户只要能记住url,就可以在地址栏输入url，访问自己本来看不到的东西，这还有安全可言吗？但是如果控制到url，那整个项目的url都要进行控制，管理起来太繁琐，不知道有没有两全的办法，权限控制到底是怎样控制的呢？

  3、我的疑问:是否一定要把url都输入数据库中？还有没有其他的方式呢？