RBAC path

역할 기반 접근 제어는 role을 세션에 싣고 경계에서 확인한다

권한 검사는 버튼을 숨기는 문제가 아니라, 서버가 신뢰할 수 있는 토큰과 세션 값을 기준으로 라우트를 통과시킬지 결정하는 문제다.

로그인 성공Provider나 DB에서 사용자를 확인한다.
user.email
JWT callback서버에서 역할을 정한다.
token.role = 'admin'
Session callback화면과 서버가 읽을 값으로 노출한다.
session.user.role
Route guard페이지나 미들웨어에서 역할을 비교한다.
role === 'admin'
요청필요 조건판정
/dashboard로그인 세션user/admin 통과
/admin로그인 + admin roleuser는 차단
/me/orders로그인 + 소유권남의 리소스는 차단