1. Authentication
누구인가를 확인한다
로그인 시스템은 먼저 사용자가 누구인지 확인하고, 그 다음 확인된 사용자에게 어떤 자원과 기능을 허용할지 따로 판단한다.
누구인가를 확인한다
무엇을 할 수 있는지 제한한다
브라우저가 쿠키나 토큰을 함께 보낸다.
세션/토큰을 검증해 사용자 식별자를 얻는다.
역할과 정책으로 작업 가능 범위를 확인한다.
핵심세션과 토큰을 고르는 문제는 “인증 상태를 어디서 유지할지”이고, 역할과 정책을 설계하는 문제는 “인증된 사용자를 어디까지 허용할지”이다.