Access Control List是一个很容易被人们提起的功能，比如业务员甲只能查看自己签的合同信息，不能看到业务员乙签的合同信息。这个功能在Spring Security中也有支持，但是配置异常困难，也没有namespace方式的支持。甚至我们不知道能否将这套ACL完全放在数据库中。

先设置jdbc中的表结构。

然后设置acl的xml配置。

检测完method的调用后，可以考虑用aop控制after invocation来控制返回的数据形式，这里就会出现虎牙子。