권한 기능은 버튼을 숨기는 일이 아니라 요청마다 session, role, resource owner, tenant boundary를 확인하는 설계입니다.
서버에서 auth()로 userId와 만료를 확인하고 없으면 로그인으로 보냅니다.
role, permission, 소유자, 조직 멤버십을 리소스 ID와 함께 검사합니다.
Route Handler와 Server Action은 클라이언트 상태를 믿지 않고 401/403을 반환합니다.
쿠키나 토큰에서 세션을 읽습니다.
role·owner·tenant 조건을 계산합니다.
미로그인은 redirect/401, 불허는 403.
민감 작업은 audit log와 테스트로 남깁니다.