关于springsecurity权限配置的问题

现在我在项目中使用过以下两种配置方式


第一种.URl拦截式
数据库菜单表 设立一个该菜单Url字段,比如:user_adduser.action,然后可以与一个或多个角色关联,只有拥有其中角色的用户才能访问该Url,当用户登录时获取他的角色集合,这种模式角色就是用户的权限,当用户进行Url访问时,首先会通过该Url去数据库找到这个菜单,然后获取拥有这个菜单访问权限的所有角色,与当前用户所有拥有的角色进行对比,如果有相匹的角色,那么说明当前用户有访问该Url的权限

第二种.Action标注式
数据库菜单表 设立一个该菜单权限标识字段,比如: ADDUSER,然后还是与一个或多个角色关联,然后在Struts Action方法上标注@PreAuthorize("hasRole(' ADDUSER’)”),指明只有拥有ADDUSER权限的角色才能访问这个action方法,当用户登录时获取他的角色集合,然后取出这些角色对应的权限,然后匹配判断是否有访问当前链接的权限


第一种方式相对简便,但是会在数据库暴露所有的url地址
第二种方式稍微繁琐,需要在每个action配置权限和配置权限常量,但是不会暴露url,而且权限可以重用,比如两个action方法公用同一个权限


大家谈谈自己的看法,或者还有其他更好的方式,本人刚出道的小菜鸟,请多多指教