Ideia geral de login e controle de acesso

Em algum momento o usuário vai fazer o seu login, ou seja, irá informar as suas credenciais (e-mail ou id/senha).

Depois disso, o sistema retorna para o usuário um token de acesso ou erro 401.

Um token de acesso é um pedaço de uma string que será usado para autorizar esse usuário a acessar alguns recursos. Isso é muito usado hoje em dia, pois atualmente o backend é separado fisicamente do frontend, então é uma boa estratégia manter o token (um controle de acesso), sem precisar armazenar estado dentro do banco de dados (quem está logado ou não).

❗Caso não seja aprovado, como pode ser visto na imagem acima, será retornado um erro 401.

O token de acesso sendo concedido, a nossa aplicação enviará as próximas requisições usando este token.

A partir dessa tentativa de conectar a um recurso específico (cliente ou adm), o backend irá analisar se o token é valido (analisando o perfil do usuário). Após isso, ele irá ou devolver o recurso para o usuário, ou:

• um erro 401 - quando o token informado for inválido, ou seja, dado corrompido ou tempo expirado.

• um erro 403 - usuário tenta informar o recurso, o token É VALIDO, mas o perfil do usuário não pode acessar o recurso, (como uma área administrativa, por exemplo).