我過去有一輛汽車有一個傭人鑰匙。這個鑰匙只能用來點火，所以它不能打開車門、控制臺、后備箱，它只能用來啟動汽車。我可以把它給泊車員（或把它留在點火器上），我確認(rèn)這個鑰匙不能用于其它目的。

把一個不能打開控制臺或后備箱的鑰匙給泊車員是有道理的，畢竟，你可能想在這些地方保存貴重物品。但我覺得沒有道理的是為什么它不能開車門。當(dāng)然，這是因為我的觀點是在于權(quán)限的收回。我是在想為什么泊車員被取消了開車門的權(quán)限。在編程中，這是一個很不好的觀點。相反地，你應(yīng)該考慮什么權(quán)限是必須的，只能給予每個人完成他本職工作所必須的盡量少的權(quán)限。

一個為什么傭人鑰匙不能打開車門的理由是這個鑰匙可以被復(fù)制，而這個復(fù)制的鑰匙在將來可能被用于偷車。這個情況聽起來不太可能發(fā)生，但這個例子說明了不必要的授權(quán)會加大你的風(fēng)險，即使是增加了很小權(quán)限也會如此。風(fēng)險最小化是安全程序開發(fā)的主要組成部分。

你無需去考慮一項權(quán)限被濫用的所有方法。事實上，你要預(yù)測每一個潛在攻擊者的動作是幾乎不可能的。