RBAC 계약

역할 정보 서버 검증

admin, editor, guest 같은 역할은 UI 표시뿐 아니라 데이터 조회와 라우트 진입 기준으로도 사용됩니다.

callback

세션에 역할 추가

로그인 후 토큰과 세션에 사용자 역할을 포함해 이후 요청에서 일관되게 읽도록 합니다.

server

데이터 접근 제한

관리자 전용 데이터는 서버에서 역할을 확인한 뒤 조회하거나 거부 응답을 반환합니다.

client

UI 노출 조절

버튼이나 메뉴는 역할에 따라 숨길 수 있지만 최종 보안 판단은 서버가 맡습니다.

권한 규칙 운영

권한 규칙 단일화

역할 이름, 허용 작업, 거부 응답이 문서화되어야 새 기능을 추가할 때 같은 기준을 유지할 수 있습니다.

접근 결과

허용필요 역할이 있으면 페이지 렌더링과 API 작업을 계속합니다.
거부역할이 부족하면 403 안내나 권한 요청 흐름으로 연결합니다.
감사관리 작업은 누가 언제 실행했는지 로그로 남길 기준을 둡니다.