Status: Accepted Entscheidungsdatum: 2026-03-31 Entschieden durch: SVA Studio Team

Pflicht-Rechtstexte müssen vor fachlichem Zugriff wirksam erzwungen werden. Ein reiner Frontend-Guard reicht nicht aus, weil API-Clients und Deep-Links geschützte Ressourcen sonst umgehen könnten.

Die Prüfung offener Pflicht-Rechtstexte erfolgt server-seitig vor geschützten Routen. Benutzer mit offener Pflichtakzeptanz erhalten einen blockierten Session-Zustand, in dem nur Akzeptanzstatus, Akzeptanzaktion und Logout erlaubt sind.

• Server-seitiges Enforcement verhindert Umgehungen durch direkte API-Aufrufe.
• Der blockierte Session-Zustand trennt Authentifizierung von fachlicher Freischaltung klar.
• Fail-Closed bei unklarem Pflichttextstatus schützt vor stiller Fehlfreigabe.

• Konsistenter Schutz von UI, API und Deep-Link-Verhalten
• Klarer Akzeptanzflow mit revisionssicheren Nachweisen
• Technische und fachliche Abnahme können denselben Enforcement-Nachweis verwenden

• Höhere UX-Härte bei technischen Fehlern oder ungeklärtem Pflichttextstatus
• Zusätzliche Middleware- und Sessionlogik

• Lokalisierte Fehlerzustände und eindeutige Retry- oder Logout-Pfade
• Dokumentierte Test- und Berichtsnachweise für Interstitial, 403-Gates und Exporte

• ADR-018-auth-routing-error-contract-und-korrelation.md
• ADR-023-session-lifecycle-forced-reauth-und-silent-sso.md