Система разграничения прав доступа основана на назначении пользователям ролей: анонимный пользователь, аутентифицированный пользователь и администратор. Каждый запрос к защищенному ресурсу проходит через проверку:
Если пользователь не аутентифицирован выбрасывается ошибка 401 (Unauthorized).
Если пользователь найден, но не является администратором — ошибка 403 (Forbidden).
Если пользователь авторизован и он администратор — ресурс выдается.