在本文中，我们将探讨不同的访问控制模型以及如何在实践中实现它们。

2. 什么是访问控制模型？

应用程序，特别是基于Web的应用程序，通常需要满足一个共同的要求，即只有在满足一组特定条件（也称为策略）时，才能执行某些操作。这是一个非常通用的要求，让我们给出一些例子：

• 互联网论坛：只有会员才能发布新消息或回复现有消息
• 电子商务网站：普通用户只能查看自己的订单
• 银行后台办公室：账户经理可以管理自己客户的投资组合。此外，当他们暂时不可用（例如，休假）时，账户经理还可以管理另一位账户经理客户的投资组合，并且前者充当其同行
• 数字钱包：在用户所在时区的20:00至08:00期间，支付限额为500美元