역할 기반 접근 제어는 role을 세션에 싣고 경계에서 확인한다
권한 검사는 버튼을 숨기는 문제가 아니라, 서버가 신뢰할 수 있는 토큰과 세션 값을 기준으로 라우트를 통과시킬지 결정하는 문제다.
| 요청 | 필요 조건 | 판정 |
|---|---|---|
/dashboard | 로그인 세션 | user/admin 통과 |
/admin | 로그인 + admin role | user는 차단 |
/me/orders | 로그인 + 소유권 | 남의 리소스는 차단 |
권한 검사는 버튼을 숨기는 문제가 아니라, 서버가 신뢰할 수 있는 토큰과 세션 값을 기준으로 라우트를 통과시킬지 결정하는 문제다.
| 요청 | 필요 조건 | 판정 |
|---|---|---|
/dashboard | 로그인 세션 | user/admin 통과 |
/admin | 로그인 + admin role | user는 차단 |
/me/orders | 로그인 + 소유권 | 남의 리소스는 차단 |