인증은 신원을 만들고 권한은 요청한 행동을 판정한다

로그인 성공만으로 모든 API가 허용되지 않도록 두 경계를 요청 흐름에서 분리한다.

credential

자격 증명 제출

비밀번호·session·token을 안전한 채널로 전달

authenticate

신원 확인

누구인지 검증하고 principal을 생성

authorize

행동 허가

resource·action·role·소유권으로 허용 여부 판정

execute

업무 수행

허용된 요청만 상태를 읽거나 변경

audit

결과 기록

민감 행동의 주체·대상·결과를 추적

핵심401은 신원을 확인할 수 없음, 403은 신원은 알지만 해당 행동을 허용하지 않음을 뜻한다.