자격 증명 제출
비밀번호·session·token을 안전한 채널로 전달
로그인 성공만으로 모든 API가 허용되지 않도록 두 경계를 요청 흐름에서 분리한다.
비밀번호·session·token을 안전한 채널로 전달
누구인지 검증하고 principal을 생성
resource·action·role·소유권으로 허용 여부 판정
허용된 요청만 상태를 읽거나 변경
민감 행동의 주체·대상·결과를 추적
핵심401은 신원을 확인할 수 없음, 403은 신원은 알지만 해당 행동을 허용하지 않음을 뜻한다.