요청 처리 순서
1. matcher보호해야 할 URL 패턴인지 먼저 본다.
2. session로그인된 사용자인지 서버에서 확인한다.
3. roleadmin, user 같은 역할 조건을 비교한다.
4. ownership개별 리소스가 현재 사용자에게 속하는지 확인한다.
5. response통과, 로그인, 권한 없음, 숨김 중 하나로 끝낸다.
우회 경로 차단버튼을 숨겨도 URL 직접 접근은 서버에서 다시 막는다.
flash 방지민감한 화면은 클라이언트 리다이렉트에만 의존하지 않는다.
실패 응답 일관성로그인 없음과 권한 부족을 구분해 안내한다.
검증 가능한 실습익명, 일반 사용자, 관리자 상태별 결과를 표로 확인한다.