请教shiro的权限设置与权限细粒度问题

需求是对用户的进行增删除改查，每个操作的url是如下情况： 查看所有 /user/list 查看指定用户的具体信息 /user/{userid} 修改指定用户的具体信息 /user/edit/{userid} 删除指定用户的信息 /user/delete/{userid} 创建用户 /user/create 现在想让用户 不能查看所有； id为{userid}的用户只能查看对应的 /user/{userid}; /user/edit/{userid};/user/delete/{userid} 所有用户都能创建新用户  /user/create 请问这样的情况在shiro，spring中该怎么配置？