关于用户，角色，权限，资源的概念。用户：应用系统的使用者；角色：区分用户职能；权限：描述访问资源级别；用户和角色是多对多的关系，角色和权限也是多对多的关系。对于某个资源，可能会提供多个访问权限级别，那么只要是持有该权限的角色都是可访问的，最终一个用户是否能访问该资源的问题就演变为一个用户对应的角色所拥有的权限是否包含该资源提供的各种访问级别的权限中的一个。

    首先，认证在前，授权在后。其次，认证时用户获得登录的口令，如果口令错误，用户将无法请求资源；口令正确，则用户需要等待授权，同时在认证的过程中，用户信息和用户所拥有的角色会被包装成为认证对象传递给授权过程使用。授权时会检查请求资源的权限并与用户所拥有角色的权限对比，如果能够能匹配，则认证通过，反之不通过。