授权应基于( )的原则。

**解析：** 在信息安全与访问控制领域，授权（Authorization）是指确定主体（如用户、进程）对客体（如文件、资源）拥有何种操作权限的过程。为了保障系统的安全性和数据的机密性、完整性，授权通常遵循以下核心原则： 1. **权限最小化原则（Least Privilege）**： * 对应选项 **A**。 * 该原则要求主体仅拥有完成其任务所必需的**最小**权限集合。任何多余的权限都可能增加安全风险，一旦主体被攻破或滥用，造成的损害也将被限制在最小范围内。这是授权设计中最基础且最重要的原则。 2. **权限分离原则（Separation of Duties/Privileges）**： * 对应选项 **D**。 * 该原则要求将关键任务或敏感操作分解为多个步骤，并由不同的人员或角色分别执行，或者将管理权限与操作权限分离。这样可以防止单个人拥有过大的权力从而引发欺诈、错误或滥用，通过相互制衡来降低风险。 **关于其他选项的分析：** * **B、身份鉴别（Identification & Authentication）**： * 这是访问控制的**前置步骤**，而非授权本身的原则。身份鉴别用于确认“你是谁”，只有通过了身份鉴别，系统才会进行后续的授权判断（即“你能做什么”）。因此，它属于认证环节，不属于授权原则。 * **C、验证（Verification）**： * 这是一个广义的概念，可能指数据完整性验证、身份验证等。在访问控制模型的语境下，它不是描述授权策略的标准原则术语。 **结论：** 授权应基于**权限最小化**和**权限分离**的原则，以确保系统安全并降低内部威胁。 因此，正确答案是 **A、D**。