Request
클라이언트 요청이 인증 정보를 포함해 들어온다.
Access Control
NestJS RBAC 요청 판정 흐름
RBAC는 요청 사용자의 역할과 라우트가 요구하는 역할을 비교해 접근을 허용하거나 거부한다.
요청이 통과되는 조건
authorizationJWT/User
토큰에서 사용자와 역할 정보를 확인한다.
Metadata
데코레이터가 라우트에 필요한 역할을 기록한다.
Guard
요청 역할과 필요한 역할을 비교한다.
Allow
조건을 만족하면 컨트롤러 핸들러로 진행한다.
Deny
역할이 부족하면 403 응답으로 차단한다.
요청사용자 역할Guard 비교허용/거부
RBAC는 인증 이후의 판단이다. “누구인가”와 “무엇을 할 수 있는가”를 분리해야 흐름이 명확하다.