2.3 授权

授权（authorization）是指系统授予或撤销访问某些数据或执行某些操作的权利的任何机制，如图2-1所示。通常，用户必须使用某种形式的身份验证登录系统。访问控制机制通过将用户的身份与访问控制列表（ACL）进行比较来确定用户能否执行某个操作。在有些场景中，为用户的访问请求授予令牌（token）的过程也被称为授权。

完整的访问控制体系还包括策略的管理。这包括根据系统的安全需求创建访问控制规则，以及后续的存储、分发、执行、监控和维护等多个环节。策略管理是实施访问控制的基础，直接决定系统的安全防护水平。因此，策略管理要覆盖全面，且具有一定的自动化措施，减少人为错误的可能性。同时，要权衡灵活性与控制力度，避免因过于严格而影响业务。

图2-1 身份认证和授权示意

新技术和新环境相继涌现，访问控制技术也在不断发展，如基于区块链的去中心化访问控制、应用于软件定义网络（SDN）的访问控制方法、针对容器和微服务的新模型等。这需要融合新技术的特点与安全主体之间的新关系。不同的访问控制技术各有优缺点，需要根据实际应用场景选择。