RBAC 점검 지점

권한 검사 위치 기준

미들웨어는 경로 진입을 빠르게 거르고, 서버 컴포넌트와 API는 실제 데이터 변경 권한을 확정한다. 클라이언트 UI는 그 결과를 사용자가 덜 헷갈리게 드러내는 보조 계층이다.

Middleware

경로 단위 차단 /admin, /editor 같은 URL 진입을 token.role로 먼저 거른다.
가벼운 판단만 복잡한 DB 조회나 리소스 소유권 판단은 서버 경계로 넘긴다.

서버 경계

최종 권한 확정 getServerSession, route handler, server action에서 다시 확인한다.
리소스 단위 검사 역할뿐 아니라 작성자, 조직, 상태 같은 조건까지 함께 본다.

Client UI

경험 보조 useSession으로 버튼과 메뉴를 숨겨 불필요한 행동을 줄인다.
보안 기준 아님 화면에서 숨긴 기능도 요청은 조작될 수 있으므로 서버가 막아야 한다.