權限管理與訪問控制常常被放在一起討論，不是嗎？我們的軟件設計往往一來就是一個系統組成模塊圖，在那個圖里面一個傻傻的方框里面寫上“權限控制模塊”。但是，我認為我們還是應該認識到在這個“模塊”里面兩者的不同。
“訪問控制”：是一個動態的概念，是發生在運行時的，也即RBAC里面說的Session中。當一個按照定義需進行控制的訪問或調用發生時，“訪問控制”即發揮作用了。“訪問控制”發生的頻率非常高；
“權限管理”：則是一個相對靜態的概念，即對“訪問控制”的規則進行定義的一種管理。在系統內訪問或調用發生之前，這些控制規則必須被定義好，等待“訪問控制”取用。通常，“權限管理”發生的頻率非常低；


其實，以任意一個應用系統為背景，使用用例分析完全可以理解這種分離。在實際設計中，這兩部分的數據訪問設計也略有不同?！皺嘞蘅刂啤笔菍孟到y中的訪問控制規則數據的讀、寫操作；而“訪問控制”是對數據的讀操作，并且通常都有較強的性能要求。



在較高層次的構架上，我看到很多國外的研究者將這一部分以權限訪問控制框架（Enterprise Access Control Framework）來模型化，并有較好的描述。在描述中，也是將各分開。這里摘錄一段老外論文摘要里面的：
“一個企業應用訪問控制框架的效力依賴于這個框架中組件或組建模塊的組成完整性。類似的框架必需由如下組件構成：（a）一個企業范圍內的控制模塊（b）在這個模塊基礎上的開發的一套對數據訪問進行驗證的機制（c）一套將企業應用訪問控制信息數據映射到企業中不同應用系統中并發揮自然訪問強制控制作用的機制。”
可以在美國標準與技術協會的RBAC標準主頁（ Go-> ）上找到這篇論文。論文是關于RBAC的一個XML Schema模型的實現的，我現在正在翻譯。