Что такое API function level authorization и как тестировать?

Function Level Authorization — разные пользователи должны иметь доступ только к разрешённым операциям. Admin-only операции не должны работать для обычных пользователей, даже если знают URL. Тестируем: логинимся как обычный юзер, вызываем admin API (DELETE /users/{id}, GET /admin/stats, POST /users/{id}/ban) — должны получать 403. Vertical privilege escalation: обычный юзер пытается стать admin. Horizontal: юзер A выполняет действие от имени юзера B.