권한 로직이 복잡해질수록 “무엇을 먼저 확인하는가”가 중요하다. 순서가 흔들리면 실패 응답도 흔들린다.
1. 세션로그인한 사용자인가?없으면 로그인
2. 역할요청 경로에 필요한 role이 있는가?부족하면 403
3. 소유권개별 리소스가 이 사용자에게 속하는가?불일치 시 숨김
4. 작업읽기, 수정, 삭제 권한이 맞는가?불일치 시 거부
5. 통과모든 조건을 만족한다.콘텐츠 표시
완성 기준: URL 직접 접근, 서버 액션 호출, 버튼 표시, 실패 화면이 모두 같은 권한 정책을 따른다.