Final decision

RBAC의 최종 흐름은 세션, 역할, 소유권, 응답을 순서대로 고정하는 것이다

권한 로직이 복잡해질수록 “무엇을 먼저 확인하는가”가 중요하다. 순서가 흔들리면 실패 응답도 흔들린다.

1. 세션로그인한 사용자인가?
2. 역할요청 경로에 필요한 role이 있는가?부족하면 403
3. 소유권개별 리소스가 이 사용자에게 속하는가?불일치 시 숨김
4. 작업읽기, 수정, 삭제 권한이 맞는가?불일치 시 거부
5. 통과모든 조건을 만족한다.콘텐츠 표시
완성 기준: URL 직접 접근, 서버 액션 호출, 버튼 표시, 실패 화면이 모두 같은 권한 정책을 따른다.