공개 API와 정적 파일은 빠르게 제외
trust gate
미들웨어 요청 신뢰 판단 흐름
matcher에 걸린 요청만 토큰과 권한을 검사하고, 결과에 따라 통과, 로그인 이동, 차단 응답을 선택한다.
변조되었거나 만료된 값은 즉시 차단
화면은 redirect, API는 상태 코드가 명확하다
- 01URL matcher
- 02토큰 검증
- 03권한 비교
- 04응답 결정
- 401과 403 분리
- redirect 루프 방지
- 민감 경로 matcher 누락 점검