什么是授权？

授权是确定是授予还是拒绝用户访问资源的权限的过程。授权通过遵循一组预先定义的规则和政策来运行。这些规则通常由访问控制系统管理，该系统根据组织的合规要求建立权限。当用户试图访问资源时，授权系统将在允许用户访问资源之前评估他们的权限和组织预定义策略。

授权与身份验证：有什么区别？

身份验证是验证用户是他们所说的用户的过程。另一方面，授权是授予对资源的访问权限的过程，以及用户可以使用这些资源执行哪些操作。用户使用其凭证进行身份验证后，系统将执行授权过程。

授权和身份验证协同工作，以确保用户在维护组织的安全和完整性的同时，能够访问所需的资源。

如果没有强大的授权流程，组织的治理就会很差，导致缺乏对员工活动的可见性和控制，并且增加了未经授权的用户访问的风险。让我们看看授权是如何解决这些问题的。

遵循最小特权原则（PoLP）：最小特权原则是一种网络安全概念，其中用户仅有权访问完成工作所需的资源。遵循此原则，可以确保增强安全性和对权限的控制，因为它减少了组织的攻击面。授权遵循这一原则，因为它严格授予最低级别的访问权限，限制未经授权的访问。
提供集中访问控制：授权允许组织在一个集中位置定义、管理和更新用户访问权限。通过这种高效的功能，可以确保为每个用户和角色应用相应的访问权限。

以下是组织用于安全访问资源的五种授权模式。

基于角色的访问控制是一种访问控制类型，它根据用户在组织中的角色和功能定义权限。例如，较低级别的员工将无法访问特权用户可以访问的高度敏感信息或系统。当用户尝试访问资源时，系统将检查用户的角色，以确定资源是否与其工作职责相关联。

基于关系的访问控制是一种侧重于用户和资源之间的关系的访问控制。想想谷歌云端硬盘 - 文档的所有者有权查看、编辑和共享文档。同一团队的成员可能只有查看文档的权限，而另一成员可能有查看和编辑文档的权限。

基于属性的访问控制是一种评估与用户相关的属性，以确定他们是否可以访问资源的访问控制。这种授权模型是一种更详细的访问控制形式，因为它会评估主题、资源、操作和环境。 ABAC 将授权访问与这些特征相关联的特定资源。

自主访问控制是一种访问控制类型，其中资源所有者负责决定如何共享他们的资源。假设用户想要访问特定的文档。最终由文档所有者自行决定是否授权用户并设置其权限。在某些情况下，资源所有者将授予某些用户更高的权限。这些特权可能包括管理或修改其他用户的访问权限的能力。

强制访问控制是一种访问控制类型，它根据资源的敏感度和用户的安全级别来管理访问权限。当用户试图访问资源时，系统将用户的安全级别与资源的安全分类进行比较。如果用户的安全级别等于或大于资源的分类，则他们将有权访问它。 MAC 主要用于需要顶级安全性的政府或军事环境。