RBAC (Role-Based Access Control) — модель авторизации, где права привязаны к ролям, а роли — к пользователям. Вместо того чтобы давать каждому юзеру индивидуальные права, создаёшь роли (admin, editor, viewer) и назначаешь им permissions (create_post, delete_user). Пользователь получает роль и автоматически все её права. В Go реализуется через таблицы users_roles и role_permissions в базе, плюс middleware, который проверяет наличие нужного permission. Для сложного RBAC с иерархией ролей можно использовать библиотеку Casbin.