Autorisatie bepaalt welke acties een geauthenticeerde gebruiker mag uitvoeren en tot welke resources hij toegang heeft. Het beantwoordt de vraag: ‘Wat mag je?’ Implementaties zijn bijvoorbeeld role-based (RBAC), permission-based en attribute-based (ABAC) access control.