로그인한 주체와 세션 식별자를 확인한다.
RBAC
RBAC는 사용자에게 권한을 직접 붙이지 않고 역할을 통해 접근을 제어한다
세션에 역할을 넣고, 서버와 UI가 같은 권한 규칙을 읽어야 화면과 실제 접근 제어가 어긋나지 않는다.
admin, editor, viewer 같은 역할을 부여한다.
리소스별 읽기, 생성, 수정, 삭제 가능 범위를 정한다.
서버 액션과 라우트에서 접근을 최종 차단한다.
보안 기준: 버튼 숨김은 편의 기능이고, 실제 권한
검사는 서버 경계에서 다시 수행한다.