Как реализовать authentication middleware?

Middleware читает токен из Authorization header (Bearer token) или cookie. Проверяет: токен валиден, не истёк, пользователь существует. Если ок — кладёт user в context: ctx = context.WithValue(ctx, userKey, user), вызывает next.ServeHTTP(w, r.WithContext(ctx)). Если нет — возвращает 401. В handler достаёшь: user := ctx.Value(userKey). Для разных уровней доступа — отдельные middleware: authRequired, adminOnly. Middleware должен быть stateless — проверка по токену, без сессий.