Web applications web应用中的模糊用户管理

我对web应用程序中的角色管理有点困惑。
假设：用户属于一个角色，一个角色有一个或多个权限，权限可以是：view page options.html

如果角色由权限组成（查看此页面、查看该页面等），我们应该如何检查允许用户在代码中查看的页面

我想到了两个选择：
a） 角色级别：如果用户是该角色的成员，则显示页面…
b） 权限级别：如果用户有权限查看该页面，则显示页面

如果a）是一条路，那么我们为什么需要权限？
管理员角色具有查看该页面的权限，稍后有人来更改权限。
在我们的代码中，我们询问用户是否是管理员角色的成员，但我们不检查权限

问题：

---

如何在源代码（JSP/JSF、ASP.NET）中管理用户角色/权限？

基本区别在于权限分配给角色，角色分配给特定用户。这个概念背后的基本思想是在不知道实际代码的情况下尽可能动态地进行访问管理。

b）。如果您不打算使用您定义的权限，那么您就不需要这些权限，这是正确的。但是考虑到您当前的设置，您应该只考虑权限。处理管理员问题的最佳方法是授予管理员角色所有权限，而不是为用户添加单独的角色检查。

如果不使用角色，则维护用户会变得很麻烦，因为当需求发生变化时，您必须更改每个人。如果您不使用页面或功能级别的权限，那么维护代码会变得很麻烦，因为您必须在需求发生变化时更改代码

最好的选择是让页面上的功能在需要时需要权限，让用户属于一个或多个角色，然后找到一种方法将角色与权限相匹配。

Java和ASP.NET？无论如何，我不确定我在这里看到了一个实际的问题。