L’authorization (autorisation) intervient après l’authentification pour déterminer ce qu’un utilisateur est autorisé à faire dans un système. Trois modèles principaux structurent cette gestion des permissions : le RBAC (Role-Based Access Control), où les utilisateurs se voient attribuer des rôles (admin, éditeur, lecteur) avec des droits prédéfinis, idéal pour sa simplicité et son évolutivité (ex. : Stripe, GitHub) ; l’ABAC (Attribute-Based Access Control), qui base l’accès sur des attributs utilisateurs ou contextuels (département, heure, localisation), offrant une grande flexibilité mais une complexité accrue ; et les ACL (Access Control Lists), où chaque ressource possède sa propre liste de permissions (ex. : Google Drive), précises mais difficiles à gérer à grande échelle. En pratique, les applications combinent souvent ces modèles (comme Firebase avec des règles hybrides RBAC/ABAC). Des outils comme OAuth2 (délégation sécurisée d’accès) et les JWT (jetons transportant identités et rôles) permettent d’appliquer ces règles de manière sécurisée et distribuée. L’autorisation repose ainsi sur un équilibre entre granularité, performance et sécurité, mêlant modèles et mécanismes pour répondre aux besoins spécifiques des systèmes modernes.