인증과 권한 관리 기초

로그인 시스템은 먼저 사용자가 누구인지 확인하고, 그 다음 확인된 사용자에게 어떤 자원과 기능을 허용할지 따로 판단한다.

1

1. Authentication

누구인가를 확인한다

2

2. Authorization

무엇을 할 수 있는지 제한한다

3

Request

브라우저가 쿠키나 토큰을 함께 보낸다.

4

Authenticate

세션/토큰을 검증해 사용자 식별자를 얻는다.

5

Authorize

역할과 정책으로 작업 가능 범위를 확인한다.

핵심세션과 토큰을 고르는 문제는 “인증 상태를 어디서 유지할지”이고, 역할과 정책을 설계하는 문제는 “인증된 사용자를 어디까지 허용할지”이다.