Analisis Aliran Data
Dalam tulisan yang lalu, disebutkan empat bentuk aplikasi beserta macam-macam predikat yang ada pada aplikasi tersebut. Setelah dipikir-pikir, keempat bentuk aplikasi tersebut memiliki satu buah kesamaan:
Semua akses kepada suatu sistem selalu menyertakan identitas pengakses, alamat yang diakses, dan data yang menyertai akses tersebut
Jika aplikasinya berbentuk REST API atau HTTP RPC, maka selalu ada informasi session yang seringkali ditempelkan di authorization header. Untuk aplikasi berbasis actor, maka identitas pengirim message harus dilekatkan pada message-nya. Jika aplikasinya berbasis event, maka harus ada identitas pengirim event. Walaupun identitas penerimanya tidak disertakan, event selalu memiliki topic dan event type. Event type ini yang menjadi "alamat" dari event tersebut.
Ketika message tersebut sampai ke sistem tujuan, barulah access control bekerja. Si penerima bertanggung jawab penuh untuk memeriksa keabsahan setiap pesan yang sampai kepadanya. dan memutuskan apakah pesan tersebut akan diterima dan ditanggapi atau ditolak. Artinya, setiap penerima bebas menentukan cara mengelompokkan dan menentukan antara pesan-pesan yang diterima dan ditolak.
Authorization server yang menjamin identitas pengirim dan resource servers yang menjadi penerima pesan tidak perlu saling berhubungan kecuali untuk memeriksa identitas si pengirim. Authorization server juga tidak perlu mengontrol hak akses.