3.5　小结

授权是允许各方访问资源的过程中（身份识别、身份验证和授权过程）的关键步骤。你可以使用访问控制来实现授权。通常情况下，你可以使用其中两种访问控制方法：访问控制列表或能力。虽然能力可以提供保护，防止混淆代理攻击，但运用并不那样频繁。

在构建访问控制系统时，你可以使用访问控制模型，概括出哪些人应该被授予对哪些资源的访问权限。在日常生活中，我们经常会遇到更简单的访问控制模型，如自主访问控制、强制访问控制、基于角色的访问控制、基于属性的访问控制等。在处理敏感数据的环境中，如涉及政府、军事、医疗或法律行业，通常使用多级访问控制模型，包括Bell-LaPadula模型、Biba模型，以及Brewer&Nash模型等。

下一章将讨论审计和问责，即如何跟踪在身份识别、身份验证和授权完成后的活动。