이 게시물은 관계 기반 인가(ReBAC)와 OpenFGA로 HR 권한 문제를 해결한 사례를 정리한 글입니다.

핵심 아이디어

• RBAC은 다중 역할과 동적 조직 구조에서 역할 수 폭발과 예외 처리 증가로 한계
• ReBAC은 사람과 자원 간의 관계를 직접 모델링하여 권한 판단

구현과 인프라

• OpenFGA를 관계 튜플 저장과 그래프 탐색 엔진으로 채택
• 관계 변경 이벤트는 Transactional Outbox → Debezium CDC → Kafka → Authorization Consumer → OpenFGA로 실시간 반영

효과

• 이미 구축된 이벤트 레일을 재사용해 전사적 인가 체계 적용 가능
• 도메인별 관계만 업데이트하면 권한 상태 일관성 유지