请教，关于中后台 API 权限的设计方式？

最近一直在学习后台管理系统相关内容。试了好几个 admin 源码。发现在权限管理方式上大体使用上是 2 中方案。

第一种方案，使用标签的方式来管理 比如：'system:dept:list' 'system:notice:add'

使用这个方式，后端接口需要手动填写标签用于权限检测 ，并写入权限表。前端同时也需要在接口上设置这些标签。

修改权限的时候实际是在数据库中修改角色对应的权限表。

第二种方案，开发时自动生成 api 路径存入数据表，比如: get:system/dept/list post:system/notice/add

使用这种方式，后端就不用手动标注出来了，因为是直接通过路径入库。前端也不用额外添加标志，请求的 api 本来就是方式+路径

修改权限实际就是在数据库中链接角色对应的 api 表。

这两种方式，不管怎么样，最终到前端也是需要动态生成相关权限表（对象）的，只是生成的方法各有差异，按照约定规则生成就实现了前端的相应权限。

我比较喜欢第二种，因为少写一些代码嘛。没那么多心智负担。但是看了好几个项目，大多是用的第一种。

因为开发的少，所以还没想出使用第一种方式的场景。

所以来问问大佬们，两种优缺点和使用上的场景？？