GraphQL 세분화 토큰 인가 아키텍처

GranularTokenAuthorization 필드 확장이 GraphQL 쿼리 및 뮤테이션에서 세분화된 개인 액세스 토큰(PAT) 권한을 적용하는 방식을 설명합니다.

GraphQL 세분화 토큰 인가 아키텍처

개요

아키텍처 구성 요소

1. 필드 확장(Field Extension)

2. 지시어(Directive)

3. 지시어 파인더(Directive Finder)

4. 경계 추출기(Boundary Extractor)

5. 타입 언래퍼(Type Unwrapper)

6. 헬퍼 모듈(Helper Module)

요청 흐름 타임라인

Phase 1: 요청 시작

Phase 2: 필드 해석(필드별)

Phase 3: 인가 검사

지시어: boundary_argument: 'project_path'

필드 인수: project_path: "gitlab-org/gitlab"

지시어: boundary: 'project'

Object: Issue 인스턴스

지시어: boundary: 'itself'

Object: Project 인스턴스

쿼리: issue(id: "gid://gitlab/Issue/123")

지시어: boundary: 'project'

Object: nil (쿼리 필드, 아직 해석되지 않음)

지시어: boundary: 'user'

리소스가 특정 프로젝트/그룹에 속하지 않음

예시 시나리오

시나리오 1: boundary_argument를 사용한 뮤테이션

시나리오 2: boundary를 사용한 타입 (중첩 필드)

시나리오 3: ID 폴백을 사용한 쿼리 필드

시나리오 4: traversal: true를 사용한 진입점 필드

인가된 반환 타입으로의 순회

traversal: true를 사용하는 진입점 필드

성능 최적화

1. 캐싱

`read_issue`에 대한 캐시 키 예시 (프로젝트의 경우):

[["read_issue"], Authz::Boundary::ProjectBoundary, 123]

2. 조기 반환

오류 처리

인가 실패

엣지 케이스 및 오류 시나리오

IssueType에는: boundary: 'project'가 있음

필드: project.issue(iid: "1")

object = Project (Issue 아님)

Project가 'project'와 일치 → Project 반환

참조

이 문서는 GranularTokenAuthorization 필드 확장이 GraphQL 쿼리 및 뮤테이션에서 세분화된 개인 액세스 토큰(PAT) 권한을 적용하는 방식을 설명합니다. 단계별 구현 가이드는 GraphQL 구현 가이드 를 참조하세요. 개요 # 세분화 토큰 인가 시스템은 타입, 필드, 뮤테이션에 적용된 지시어(directive)를 기반으로 GraphQL 필드에 세밀한 권한 검사를 추가합니다. 이 시스템은 세분화된 PAT가 특정 프로젝트 또는 그룹 경계 내에서 명시적으로 권한이 부여된 리소스에만 접근할 수 있도록 보장합니다. 기능 플래그 : 이 기능은 토큰의 사용자에 대해 granular_personal_access_tokens 기능 플래그가 활성화되어 있어야 합니다. 플래그가 비활성화된 경우 세분화된 PAT는 GraphQL 요청에 대해 작동하지 않습니다. 아키텍처 구성 요소 # 1. 필드 확장(Field Extension) # 위치 : lib/gitlab/graphql/authz/granular_token_authorization.rb 목적 : 필드 해석(resolution)을 가로채어 인가 검사를 수행합니다. 적용 대상 : Types::BaseField 를 통해 모든 GraphQL 필드에 적용됩니다. 2. 지시어(Directive) # 위치 : app/graphql/directives/authz/granular_scope.rb 목적 : 필요한 권한 및 경계 추출 전략을 선언합니다. 인수(Arguments) : permissions : 필요한 권한 문자열의 배열입니다 (예: ['read_issue'] ). boundary : 해석된 객체에서 경계를 추출하는 메서드 이름입니다. boundary_argument : 경계를 포함하는 인수 이름입니다. boundary_type : 인가 경계의 타입입니다 ( project , group , user , instance ). 권한 경계의 유효성 검사 및 문서화에 사용됩니다. traversal : true 인 경우, 지시어는 토큰이 경계로 스코프가 지정되어 있는지만 확인합니다( read_boundary ). 나열된 권한은 필드 자체에서 적용되지 않습니다. 다운스트림 필드가 실제 권한을 적용하는 Query.group(fullPath:) 와 같은 진입점 필드에 사용합니다. 3. 지시어 파인더(Directive Finder) # 위치 : lib/gitlab/graphql/authz/directive_finder.rb 목적 : 우선순위 순서(field, implementing type, return type, owner type)로 적용 가능한 지시어를 찾습니다. 포함 : GraphQL 타입 래퍼를 언래핑하기 위한 TypeUnwrapper 모듈 4. 경계 추출기(Boundary Extractor) # 위치 : lib/gitlab/graphql/authz/boundary_extractor.rb 목적 : 다양한 소스에서 인가 경계를 추출합니다. 5. 타입 언래퍼(Type Unwrapper) # 위치 :