5.인가

리소스에 접근하려는 주체로부터 식별 요청을 받은 후, 그 요청이 타당한지 판단한 다음에는
→ 인증이 성공하였을 경우,

인증이 성공한 주체에게 어떤 작업을 수행할 수 있도록 허용할 것인지, 또한 서버의 자원에 접근하는 것을 허용할지 거부할지를 결정하게 되는데, 이러한 과정을 인가(Authorization) 라고 함

따라서 인가는 이러한 주체의 접근을 허용하거나 거부하는 행위를 의미

1. 인가, Authorization

인가란 식별과 인증이 완료된 후에 이루어지는 단계로, 주체의 인증을 완료한 이후, 그 주체가 정확히 무엇을 할 수 있도록 허용할 것인지를 결정하는 과정

Note

최소 권한의 원칙

인증이 완료된 주체(사람, 사용자 계정, 프로세스 등)에게 접근을 허용할 때 주체가 원하는 목적을 수행하기 위해 필요한 최소한의 접근만을 허용해야 한다는 규칙

예를 들어, 판매 부서에서 근무하는 직원에게는 인사시스템 내 데이터에까지 접근할 권한을 주지 않는 것이 더 안전하다고 볼 수 있음

혹은 웹 서버에서 운영 중인 서비스가 있다고 할 때, 사용자는 오직 웹 서버가 제공하는 컨텐츠에 직접적으로 관련된 파일과 스크립트에만 접근할 수 있어야 하며,

그 외 서버의 시스템 내 다른 파일에 접근하는 것 까지 허용할 경우에는 공격자가 해당 파일들을 읽고 수정할 수 있게 되어 문제가 발생할 수 있기 때문에 권한을 최소화 해두는 것이 안전함