Access control quản lý những gì người dùng đã xác thực có thể làm — thông qua các mô hình như RBAC (Role-Based Access Control) và các nguyên tắc như least privilege. Access control đúng cách là then chốt, vì broken access control là lỗ hổng #1 của OWASP.
Các mô hình access control
RBAC (Role-Based Access Control) → gán người dùng vào các ROLE; role có các PERMISSION:
→ user → role(s) (admin, editor, viewer) → permissions → quyết định truy cập
→ dễ quản lý, phổ biến; đổi permissions của một role, mọi user của nó cập nhật theo
ABAC (Attribute-Based) → quyết định dựa trên THUỘC TÍNH (user, tài nguyên, ngữ cảnh) → linh hoạt,
chi tiết (ví dụ "editor có thể sửa tài liệu trong phòng ban của họ trong giờ làm việc")
ACLs → danh sách theo từng tài nguyên về ai được làm gì
