菜单权限问题？

需求是这样的：每个用户有不同的权限，先显示的是一级菜单，然后鼠标移动到某个一级菜单下，显示对应的二级菜单，最多显示二级菜单。网站是用的三个ifram，top、middle、left，菜单在top里，我想了两种方案，但是感觉都有所欠缺：

第一种是，用户进入网站的时候就获取到它的所有菜单权限列表，形成二维数组。但是这样有一个缺点就是修改了权限之后，只要不刷新网站就不能即时更新。

第二种是，用户进入网站的时候，首先获取到他的一级菜单，然后在他点击或者滑动到一级菜单的时候，用ajax的方式获取到他对应的二级菜单。如此一来就可以即时更新二级菜单的权限了，一级菜单还是没办法做到时时更新。

还有几个问题，就是他不通过我出现的菜单列表去点击，而是通过输入url的形式，这样就没办法防范了，想到了一个应对办法是控制器继承一个公共控制器，公共控制器里去验证权限。

各位一般对于这种是怎么处理的？

ps:问这个问题的时候我心里大致的流程是通的，只是有一点小细节不太清楚。感谢各位的回答，现在把我已明了的地方贴在下面，希望以后有遇到这样问题的同学，可以给他们参考：

1. 角色和权限关联表

2. 管理员和角色关联表

3. 权限表里存控制器和方法的组合（例：user/index）

4. 控制器继承一个公共控制器，初始化方法里去做权限验证，获取当前的url并拆分得到控制器和方法部分user/index，得到权限ID

5. 用户得到自己的角色，查看自己的角色里是否有这个权限ID即可；

回复内容：

需求是这样的：每个用户有不同的权限，先显示的是一级菜单，然后鼠标移动到某个一级菜单下，显示对应的二级菜单，最多显示二级菜单。网站是用的三个ifram，top、middle、left，菜单在top里，我想了两种方案，但是感觉都有所欠缺：

第一种是，用户进入网站的时候就获取到它的所有菜单权限列表，形成二维数组。但是这样有一个缺点就是修改了权限之后，只要不刷新网站就不能即时更新。

第二种是，用户进入网站的时候，首先获取到他的一级菜单，然后在他点击或者滑动到一级菜单的时候，用ajax的方式获取到他对应的二级菜单。如此一来就可以即时更新二级菜单的权限了，一级菜单还是没办法做到时时更新。

还有几个问题，就是他不通过我出现的菜单列表去点击，而是通过输入url的形式，这样就没办法防范了，想到了一个应对办法是控制器继承一个公共控制器，公共控制器里去验证权限。

各位一般对于这种是怎么处理的？

ps:问这个问题的时候我心里大致的流程是通的，只是有一点小细节不太清楚。感谢各位的回答，现在把我已明了的地方贴在下面，希望以后有遇到这样问题的同学，可以给他们参考：

1. 角色和权限关联表

2. 管理员和角色关联表

3. 权限表里存控制器和方法的组合（例：user/index）

4. 控制器继承一个公共控制器，初始化方法里去做权限验证，获取当前的url并拆分得到控制器和方法部分user/index，得到权限ID

5. 用户得到自己的角色，查看自己的角色里是否有这个权限ID即可；

有一个参考框架：
ThinkCMF

阅读过它的源码，大致思路:

数据库：

<code>1.角色表
2.角色权限表
3.权限表
4.用户表
</code>

用户可以选择角色
角色可以选择权限

权限：

<code>1.权限名称
2.是否是父节点
3.可以访问的url（这个就是控制权限的关键）
</code>

控制器：

<code>1.登录
2.主页
</code>

控制权限思路：

<code>1.Login的Controller首先用户需要登录，然后给一个用户的id做session。
2.Index的Controller写一层父Controller，来做一系列的权限判断的操作（比较当前的url与数据库查询到的该角色对应的权限的url）
</code>

大功告成。

第一种：都这样，不必理会。通常修改权限的不是超级管理员就是具有权限管理权限的用户，前者不需要改自己的权限，后者不应该具有修改自己的权限的权限（否则他会把自己调成超级管理员的）。而你修改别人的权限，那个人又不知道，他下次登陆时自然生效。
第二种：不推荐ajax，其实上面的问题说清楚了，所以这种选择可以直接pass了。

关于直接访问的问题：权限管理就是访问权限管理，而不是菜单项显示/隐藏管理，所以如果你的控制器没有实现权限检测纯属bug。简单的做法是在控制器初始化的时候检查请求的action，然后进行权限检测，不匹配的就直接跳出。

thinkPHP有现成的后台权限管理系统模块http://www.cnblogs.com/tanteng/archive/2012/11/25/2787597.html
laravel也有 楼主可以参考一下