Nest.js를 활용한 역할 기반 접근 제어(RBAC) 구현하기

웹 애플리케이션의 보안은 사용자와 시스템 간의 상호작용을 안전하게 관리하는 데 필수적입니다. 특히 인증 및 권한 부여는 이러한 보안의 핵심 요소로 자리 잡고 있습니다. 이번 포스트에서는 Nest.js를 활용하여 역할 기반 접근 제어(RBAC)를 구현하는 방법에 대해 자세히 알아보겠습니다.

RBAC란 무엇인가?

역할 기반 접근 제어(RBAC)는 사용자가 특정 "역할"을 부여받고, 그 역할에 따라 시스템 자원에 대한 접근 권한을 결정하는 방법론입니다. RBAC의 주요 특징은 다음과 같습니다:

• 역할 정의: 각 사용자에게 부여되는 역할은 그 사용자가 수행할 수 있는 작업을 정의합니다.
• 권한 관리: 역할에 따라 접근할 수 있는 자원과 기능이 달라집니다.

역할의 예시

• 관리자: 모든 기능과 데이터에 대한 완전한 접근 권한을 가집니다.
• 편집자: 콘텐츠를 생성하고 수정할 수 있지만, 삭제 권한은 없습니다.
• 일반 사용자: 읽기 전용 액세스만 허용됩니다.

이러한 구조는 조직 내에서 각 사용자의 책임과 권한을 명확히 하여 보안을 강화하는 데 기여합니다.

Nest.js에서 RBAC 구현하기

Nest.js는 Guards를 통해 RBAC를 손쉽게 구현할 수 있는 프레임워크입니다. Guards는 요청 처리 전에 특정 조건을 검사하는 미들웨어로, 애플리케이션의 보안을 강화하는 데 중요한 역할을 합니다.

1. 기본적인 구조 설정

RBAC를 구현하기 위해 먼저 필요한 패키지를 설치해야 합니다. 다음 명령어를 통해 @nestjs/passport와 passport 패키지를 설치합니다:

npm install @nestjs/passport passport passport-jwt

이후 JWT 토큰을 사용하여 인증 로직을 설정하고, 사용자 인증을 위한 기본적인 구조를 마련합니다.

2. Role Decorator 만들기

사용자의 역할을 정의하는 커스텀 데코레이터를 생성합니다. 이 데코레이터는 특정 역할을 가진 사용자만 접근할 수 있도록 설정하는 데 유용합니다:

import { SetMetadata } from '@nestjs/common';

export const Roles = (...roles: string[]) => SetMetadata('roles', roles);

이제 이 데코레이터를 컨트롤러에서 활용하여 각 엔드포인트에 대한 접근 제어를 설정할 수 있습니다.

3. Guard 구현하기

사용자의 역할을 검증하는 Guard를 작성합니다. 이 Guard는 사용자가 요청한 리소스에 접근할 수 있는 권한이 있는지를 판단합니다:

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Reflector } from '@nestjs/core';

@Injectable()
export class RolesGuard implements CanActivate {
    constructor(private reflector: Reflector) {}

    canActivate(context: ExecutionContext): boolean {
        const requiredRoles = this.reflector.get<string[]>('roles', context.getHandler());
        if (!requiredRoles) {
            return true;
        }

        const request = context.switchToHttp().getRequest();
        const user = request.user; // JWT 토큰에서 가져온 사용자 정보

        return requiredRoles.some(role => user.roles?.includes(role));
    }
}

이 Guard는 요청이 들어올 때마다 사용자의 역할을 확인하여, 필요한 역할이 없으면 접근을 차단합니다.

4. 컨트롤러에서 사용하기

마지막으로, 만든 Role Decorator와 Guard를 컨트롤러 메서드에 적용해보겠습니다. 이를 통해 특정 역할을 가진 사용자만 접근할 수 있는 엔드포인트를 설정할 수 있습니다:

import { Controller, Get, UseGuards } from '@nestjs/common';
import { Roles } from './roles.decorator';
import { RolesGuard } from './roles.guard';

@Controller('admin')
@UseGuards(RolesGuard)
export class AdminController {
    @Get()
    @Roles('admin') // 'admin' 역할만 가능한 엔드포인트 
    getAdminData() {
        return "관리자 데이터";
    }
}

위 코드에서는 /admin 경로로 오는 요청은 admin 역할이 있는 사용자만 접근할 수 있도록 설정했습니다. 이를 통해 관리자는 중요한 데이터에 대한 접근을 안전하게 유지할 수 있습니다.

결론

역할 기반 접근 제어는 복잡성 없이도 강력한 보안을 제공하며, Nest.js의 Guards와 Decorators 기능 덕분에 쉽게 구현할 수 있습니다. 이러한 방식으로 애플리케이션 내의 리소스를 보호하고 관리함으로써 보다 안전하고 효율적인 서비스를 제공할 수 있습니다.

실제로 이러한 구조를 활용하면 기업 환경에서도 유연하게 다양한 요구사항에 대응하면서도 보안을 유지할 수 있게 됩니다. 각 사용자의 역할에 따라 적절한 권한을 부여함으로써, 시스템의 무결성을 보장하고, 데이터 유출이나 오용을 방지할 수 있습니다.