调试易

难道不是把用户的权限放进session里面？

不知道你的拦截器是怎么配置的 <security:intercept-url pattern="/a.jap"  access="hasRole('ADMIN')" /> 如果是上面那种方式，就该成下面这样<security:intercept-url pattern="/a.jap*"  access="hasRole('ADMIN')" /> 

将url 放入数据库，通过url 取权限

 我觉得直接用个filter就可以搞定！（userid、roleid、sessionid，url，最好url编码一下等信息就可以搞定）

假设拦截/user下面的:<security:intercept-url pattern="/user/**"  access="hasRole('ADMIN')" /> 

我也遇到同样问题
资源是放在数据库中的 数据库不支持/user/**这种模糊匹配

我刚用的时候也遇到过这种情况，解决方式是过滤掉请求的参数：
public Collection<ConfigAttribute> getAttributes(Object object)
这个方法中：
 String requestUrl=((FilterInvocation)object).getRequestUrl();
        System.out.println("请求URL为----------------"+requestUrl);
        requestUrl = requestUrl.split("\\?")[0];
//第一个问号后面的都不要