Role propagation

role 값은 토큰에서 세션으로, 세션에서 각 실행 위치로 전달된다

어느 위치에서 읽든 같은 값을 보게 해야 권한 판단이 흔들리지 않는다.

위치읽는 값책임주의
JWTtoken.role서버가 신뢰할 역할 보관로그인 이후 갱신 정책 필요
Sessionsession.user.role서버와 UI가 읽는 공통 인터페이스타입 확장 누락 주의
ServergetServerSession최종 접근 제어데이터 조회 전에 검사
ClientuseSession버튼 표시와 안내보안 경계로 사용 금지