WEB · AUTHZ
RBAC 권한 매트릭스
RBAC는 사용자에게 직접 권한을 붙이기보다 역할을 부여하고, 역할이 어떤 리소스 행동을 할 수 있는지 매트릭스로 관리합니다.
권한 관계
rbac
user
사용자에게 role 부여
role
Admin, User, Guest
permission
read, write, delete
resource
게시글, 설정, 결제 등 대상
user
→
role
→
permission
→
resource
검토 기준
check
최소 권한
기본 역할에는 꼭 필요한 권한만 줍니다.
서버 검증
UI에서 버튼을 숨겨도 API에서 다시 검사해야 합니다.
역할 폭발
역할이 너무 많아지면 정책 관리가 어려워집니다.
감사
누가 어떤 권한으로 접근했는지 로그를 남깁니다.