主体；主体，即访问应用的用户，在Shiro中使用Subject代表该用户。用户只有授权后才允许访问相应的资源。资源；在应用中用户可以访问的任何东西，比如访问JSP页面、查看/编辑某些数据、访问某个业务方法、打印文本等等都是资源。用户只要授权后才能访问。权限；安全策略中的原子授权单位，通过权限可以表示在应用中用户有没有操作某个资源的权力。即权限表示在应用中用户能不能访问某个资源，如。访问用户列表页面；查看/新增/修改/删除用户数据（即很多时候都是CRUD（增查改删）式权限控制）。打印文档等等。