AUTH FLOW
인증은 누구인지, 권한은 무엇을 할 수 있는지 판단한다
로그인 기반 서비스는 먼저 신원을 확인하고, 그 신원에 허용된
자원과 기능 범위를 따로 검사해야 합니다.
순서Authentication이 먼저이고, Authorization은 인증된 사용자
정보를 바탕으로 이어집니다.
Session서버가 세션을 저장하고 브라우저는 세션 ID 쿠키를 보냅니다.
Token서명된 토큰을 클라이언트가 보관하고 요청마다 전달합니다.
Role / Policy관리자, 사용자, 구독자처럼 역할과 정책으로 접근 범위를
정합니다.
Least Privilege필요한 최소 권한만 부여하고 권한 상승 경로를 통제합니다.
세션은 서버 제어가 쉽고, 토큰은 확장성이 좋습니다. 서비스 구조와 보안
요구에 맞춰 선택합니다.