Auth Feature

인증과 권한 관리는 사용자 확인과 접근 허용을 분리한다

로그인한 사용자인지 확인하는 인증과, 특정 리소스에 접근할 수 있는지 판단하는 권한은 다른 단계다.

보호 라우트 흐름

access control

로그인

자격 증명이나 OAuth를 통해 사용자의 신원을 확인한다.

세션

쿠키나 토큰으로 요청마다 사용자를 다시 식별한다.

권한

역할, 소유자, 구독 상태 같은 조건으로 접근 가능 여부를 판단한다.

보호

서버 컴포넌트, 라우트 핸들러, 미들웨어에서 필요한 검사를 배치한다.

loginsessionroleallow
읽는 법

보안 기능을 추가할 때는 “누구인가”와 “무엇을 해도 되는가”를 분리해야 빠진 검사를 찾기 쉽다.