A adoção de um design de autenticação e autorização apropriado reduz muitos dos principais riscos de segurança. Uma estratégia de autorização é proteger o acesso às operações por um método baseado na participação da função do chamador. As funções são usadas para dividir a base de usuários do aplicativo em conjuntos de usuários que compartilham os mesmos privilégios de segurança no aplicativo, como por exemplo, Gerentes e Funcionários. Os usuários são mapeados para as funções e, se o usuário estiver autorizado a executar a operação solicitada, o aplicativo usará identidades fixas para acessar os recursos. Os respectivos gerenciadores de recursos confiam nessas identidades, como no caso de bancos de dados. Essa estratégia é do seguinte tipo: