Le contrôle d'accès régit ce que les utilisateurs authentifiés peuvent faire — à travers des modèles comme RBAC (contrôle d'accès basé sur les rôles) et des principes comme le moindre privilège. Le contrôle d'accès approprié est critique, car un contrôle d'accès défaillant est la vulnérabilité #1 de l'OWASP.
Modèles de contrôle d'accès
RBAC (Role-Based Access Control) → assign users to ROLES; roles have PERMISSIONS:
→ user → role(s) (admin, editor, viewer) → permissions → access decisions
→ manageable, common; change a role's permissions, all its users update
ABAC (Attribute-Based) → decisions based on ATTRIBUTES (user, resource, context) → flexible,
fine-grained (e.g. "editors can edit docs in their department during business hours")
ACLs → per-resource lists of who can do what
