Rollen und Gruppen bestimmen seit über 40 Jahren, wer was darf. Das Modell ist simpel, bewährt – und zunehmend unzureichend. RBAC entscheidet statisch: einmal zugewiesen, immer berechtigt. Kontextabhängige Entscheidungen zur Laufzeit? Fehlanzeige. Und implizite Berechtigungen à la „ich bin Admin, also darf ich alles" sind nicht nur unelegant, sondern ein Sicherheitsrisiko.

Die Zukunft gehört dynamischen Autorisierungsmethoden wie Policy-based und Relationship-based Access Control. Statt starrer Rollenzuweisungen entscheiden Policies zur Laufzeit anhand von Kontext, Beziehungen und Attributen, ob ein Zugriff erlaubt ist – pro Ressource, pro Request. Jede Berechtigung wird explizit nachgewiesen und ist überprüfbar.

In diesem Talk ordne ich die Konzepte hinter PBAC, ReBAC und ABAC ein und zeige, wie AuthZEN als neuer Standard der OpenID Foundation die Kommunikation zwischen Autorisierungs-Komponenten standardisiert. Anhand konkreter Beispiele wird klar, wie eine moderne Autorisierungsarchitektur aussehen kann.

Das Ziel: Autorisierung, die nicht fragt „wer bist du?", sondern „was kannst du nachweisen?".