Å avgjøre hva en autentisert bruker faktisk har lov til å se og gjøre.
Den vanligste og alvorligste feilen er å håndheve autorisasjon bare i grensesnittet: knappen skjules, men API-et svarer likevel. Da finnes ikke sikkerheten — den er malt på. Autorisasjon skal alltid håndheves på serveren, for hver forespørsel, etter prinsippet om minste privilegium.
Relaterte begreper: Autentisering · OAuth · Zero trust