我過去有一輛汽車有一個傭人鑰匙。這個鑰匙只能用來點火，所以它不能打開車門、控制臺、后備箱，它只能用來啟動汽車。我可以把它給泊車員（或把它留在點火器上），我確認這個鑰匙不能用于其它目的。

把一個不能打開控制臺或后備箱的鑰匙給泊車員是有道理的，畢竟，你可能想在這些地方保存貴重物品。但我覺得沒有道理的是為什么它不能開車門。當然，這是因為我的觀點是在于權限的收回。我是在想為什么泊車員被取消了開車門的權限。在編程中，這是一個很不好的觀點。相反地，你應該考慮什么權限是必須的，只能給予每個人完成他本職工作所必須的盡量少的權限。

一個為什么傭人鑰匙不能打開車門的理由是這個鑰匙可以被復制，而這個復制的鑰匙在將來可能被用于偷車。這個情況聽起來不太可能發生，但這個例子說明了不必要的授權會加大你的風險，即使是增加了很小權限也會如此。風險最小化是安全程序開發的主要組成部分。

你無需去考慮一項權限被濫用的所有方法。事實上，你要預測每一個潛在攻擊者的動作是幾乎不可能的。