对于能力表来说,如果出示有效的能力,则允许访问,不会验证能力持有者的身份。用户持有有效能力对允许访问来说是足够的,但是能力必须防御修改。对于访问控制列表来说,如果用户名和合适的权限出现在对象ACL中,则允许访问。每次用户请求访问,它们都会由操作系统进行身份识别。
能力表更适合于分布式环境。保护机制和命名可以合为一体,使访问控制更加灵活。访问控制列表可以提供更好的保护,因为它总是在允许用户访问之前识别用户,也更容易跟踪使用对象的人。
