RBAC + ABAC 이중 구조 도입으로 다중 테넌트 API 접근 제어 레이어 분리함

Context

단순 JWT 검증만으로는 리소스 수준의 접근 제어가 불가능함. 역할 기반 권한만으로는 사용자별 소유 리소스 접근을 표현하기 어려움.

Technical Solution

• RBAC: Role → Permissions 매핑으로 viewer, editor, moderator, admin 역할별 권한 집합 정의함
• ABAC: subject, resource, environment 속성 기반 동적 정책 평가 함수 구현함
• 이중 필터 구조: RBAC를 coarse filter로 먼저 적용하여 빠른 권한 확인 처리함
• ABAC ownership 정책: resource.authorId === user.id 조건으로 리소스 소유자만 접근 허용함
• ABAC org isolation 정책: user.organizationId === resource.organizationId 조건으로 테넌트 간 격리 보장함
• permissionCache: 역할 조합별 권한 집합을 Map으로 캐싱하여 매 요청 재연산 방지함
• Express middleware: requirePermissions 팩토리 함수로 경로별 권한 검증 미들웨어 제공함

Impact

정적 권한 매핑은 캐싱으로 O(n) 연산을 O(1) 조회로 전환함. 정책 평가 함수의 동기 실행으로 비동기 오버헤드 제거함.

Key Takeaway

RBAC는 빠르고 단순한 coarse gate 역할, ABAC는 동적이고 맥락적인 fine-grained check 역할을 함. 둘의 조합이 다중 테넌트 SaaS의 보안 깊이를 확보함.