第3章　授权和访问控制

正如第2章所论述的，在收到某一方的身份声明，并确定声明是否有效后，你必须决定是否允许其访问你的资源。这可以通过两个主要概念来实现，即授权和访问控制。授权是指准确确定被验证方可以做什么的过程。访问控制是用于拒绝或允许访问的工具和系统，通常通过访问控制来实现授权。

你可以基于物理属性、规则集、个人清单、系统清单或其他更复杂的要素进行访问控制。当谈及逻辑资源时，你会在日常的应用程序和操作系统以及军事或政府环境中复杂的多层级配置中发现简单的访问控制。你将在本章中更详细地了解访问控制以及一些实现方法。