1：（这个有点问的莫名其妙），一般来说 controller只负责参数校验，具体的逻辑是在service完成的，而dao只是负责数据的获取 2：这个也有点莫名其妙，这个完全是看公司的的规定好吧，有的喜欢直接用http code码来成功（200）或者失败（502）。有的是统一返回200代表请求成功，具体的业务是否成功是看返回包装的code是是什么 3：权限问题，如果你是使用RBAC模型来实现的，并且这个权限是现有的，就直接分配就行了，如果没就需要改代码 4：setex 5：mysql本身就有权限，直接使用grant语句 这些问题都感觉问的好怪😅