role:是粗粒度和细粒度(业务逻辑)的接口,一个基于粗粒度控制的权限框架软件,对外的接口应该是role,具体业务实现可以直接继承或拓展丰富role的内容,role不是如同user或group的具体实体,它是接口概念,抽象的通称。
group:用户组,权限分配的单位与载体。权限不考虑分配给特定的用户。组可以包括组(以实现权限的继承)。组可以包含用户,组内用户继承组的权限。group要实现继承。即在创建时必须要指定该group的parent是什么group。在粗粒度控制上,可以认为,只要某用户直接或者间接的属于某个group那么它就具备这个group
