需求是這樣的：每個用戶有不同的權(quán)限，先顯示的是一級菜單，然后鼠標(biāo)移動到某個一級菜單下，顯示對應(yīng)的二級菜單，最多顯示二級菜單。網(wǎng)站是用的三個ifram，top、middle、left，菜單在top里，我想了兩種方案，但是感覺都有所欠缺：

第一種是，用戶進入網(wǎng)站的時候就獲取到它的所有菜單權(quán)限列表，形成二維數(shù)組。但是這樣有一個缺點就是修改了權(quán)限之后，只要不刷新網(wǎng)站就不能即時更新。

第二種是，用戶進入網(wǎng)站的時候，首先獲取到他的一級菜單，然后在他點擊或者滑動到一級菜單的時候，用ajax的方式獲取到他對應(yīng)的二級菜單。如此一來就可以即時更新二級菜單的權(quán)限了，一級菜單還是沒辦法做到時時更新。

還有幾個問題，就是他不通過我出現(xiàn)的菜單列表去點擊，而是通過輸入url的形式，這樣就沒辦法防范了，想到了一個應(yīng)對辦法是控制器繼承一個公共控制器，公共控制器里去驗證權(quán)限。

各位一般對于這種是怎么處理的？

ps:問這個問題的時候我心里大致的流程是通的，只是有一點小細節(jié)不太清楚。感謝各位的回答，現(xiàn)在把我已明了的地方貼在下面，希望以后有遇到這樣問題的同學(xué)，可以給他們參考：

1. 角色和權(quán)限關(guān)聯(lián)表

2. 管理員和角色關(guān)聯(lián)表

3. 權(quán)限表里存控制器和方法的組合（例：user/index）

4. 控制器繼承一個公共控制器，初始化方法里去做權(quán)限驗證，獲取當(dāng)前的url并拆分得到控制器和方法部分user/index，得到權(quán)限ID

5. 用戶得到自己的角色，查看自己的角色里是否有這個權(quán)限ID即可；

回復(fù)內(nèi)容：

需求是這樣的：每個用戶有不同的權(quán)限，先顯示的是一級菜單，然后鼠標(biāo)移動到某個一級菜單下，顯示對應(yīng)的二級菜單，最多顯示二級菜單。網(wǎng)站是用的三個ifram，top、middle、left，菜單在top里，我想了兩種方案，但是感覺都有所欠缺：

第一種是，用戶進入網(wǎng)站的時候就獲取到它的所有菜單權(quán)限列表，形成二維數(shù)組。但是這樣有一個缺點就是修改了權(quán)限之后，只要不刷新網(wǎng)站就不能即時更新。

第二種是，用戶進入網(wǎng)站的時候，首先獲取到他的一級菜單，然后在他點擊或者滑動到一級菜單的時候，用ajax的方式獲取到他對應(yīng)的二級菜單。如此一來就可以即時更新二級菜單的權(quán)限了，一級菜單還是沒辦法做到時時更新。

還有幾個問題，就是他不通過我出現(xiàn)的菜單列表去點擊，而是通過輸入url的形式，這樣就沒辦法防范了，想到了一個應(yīng)對辦法是控制器繼承一個公共控制器，公共控制器里去驗證權(quán)限。

各位一般對于這種是怎么處理的？

ps:問這個問題的時候我心里大致的流程是通的，只是有一點小細節(jié)不太清楚。感謝各位的回答，現(xiàn)在把我已明了的地方貼在下面，希望以后有遇到這樣問題的同學(xué)，可以給他們參考：

1. 角色和權(quán)限關(guān)聯(lián)表

2. 管理員和角色關(guān)聯(lián)表

3. 權(quán)限表里存控制器和方法的組合（例：user/index）

4. 控制器繼承一個公共控制器，初始化方法里去做權(quán)限驗證，獲取當(dāng)前的url并拆分得到控制器和方法部分user/index，得到權(quán)限ID

5. 用戶得到自己的角色，查看自己的角色里是否有這個權(quán)限ID即可；

有一個參考框架：
ThinkCMF

閱讀過它的源碼，大致思路:

數(shù)據(jù)庫：

<code>1.角色表
2.角色權(quán)限表
3.權(quán)限表
4.用戶表
</code>

用戶可以選擇角色
角色可以選擇權(quán)限

權(quán)限：

<code>1.權(quán)限名稱
2.是否是父節(jié)點
3.可以訪問的url（這個就是控制權(quán)限的關(guān)鍵）
</code>

控制器：

<code>1.登錄
2.主頁
</code>

控制權(quán)限思路：

<code>1.Login的Controller首先用戶需要登錄，然后給一個用戶的id做session。
2.Index的Controller寫一層父Controller，來做一系列的權(quán)限判斷的操作（比較當(dāng)前的url與數(shù)據(jù)庫查詢到的該角色對應(yīng)的權(quán)限的url）
</code>

大功告成。

第一種：都這樣，不必理會。通常修改權(quán)限的不是超級管理員就是具有權(quán)限管理權(quán)限的用戶，前者不需要改自己的權(quán)限，后者不應(yīng)該具有修改自己的權(quán)限的權(quán)限（否則他會把自己調(diào)成超級管理員的）。而你修改別人的權(quán)限，那個人又不知道，他下次登陸時自然生效。
第二種：不推薦ajax，其實上面的問題說清楚了，所以這種選擇可以直接pass了。

關(guān)于直接訪問的問題：權(quán)限管理就是訪問權(quán)限管理，而不是菜單項顯示/隱藏管理，所以如果你的控制器沒有實現(xiàn)權(quán)限檢測純屬bug。簡單的做法是在控制器初始化的時候檢查請求的action，然后進行權(quán)限檢測，不匹配的就直接跳出。

thinkPHP有現(xiàn)成的后臺權(quán)限管理系統(tǒng)模塊http://www.cnblogs.com/tanteng/archive/2012/11/25/2787597.html
laravel也有 樓主可以參考一下