[Security] Implement authorization model for OA API (JWT scope-based RBAC)

[1xp-dorami]

Summary

현재 JWT 인증(HS256 + exp/iss/aud)은 구현되어 있으나, 인가(Authorization)가 없음.
유효한 토큰만 있으면 namespace/service/capability 구분 없이 전체 API 접근 가능.

"인증은 있는데 인가가 없는" 전형적인 Broken Access Control

현재 상태

• src/auth.ts: JWT 유효성만 검사, payload를 request.user에 붙이기만 함
• src/k8s/routes.ts: target.namespace 기본값 "*" — cluster-wide 조회
• /v1/pods: podIP, labels, annotations, nodeName 전체 반환
• /v1/bundles, /download: scope 제한 없음
• src/standalone/routes.ts: /v1/services 서비스 메타(metrics URL, logs 경로) 전체 노출

요구사항

JWT Claim 기반 권한 설계

{
  "sub": "agent-01",
  "allowedNamespaces": ["prod", "monitoring"],
  "allowedServices": ["validator-*"],
  "capabilities": ["pods", "logs", "events", "metrics"],
  "admin": false
}

라우트별 적용

• /v1/pods: allowedNamespaces + capabilities 에 pods 포함 필수
• /v1/bundles: namespace/service scope 적용
• /v1/bundles/:id/download: 동일 scope
• /v1/services (standalone): allowedServices 필터링
• namespace="*": admin: true 토큰에서만 허용

응답 축소 (관련 Medium 이슈 포함)

• /v1/pods 기본 응답에서 annotations, nodeName, podIP 제거 (관리자 scope에서만)
• /v1/services에서 metrics URL, logs 경로 등 민감 필드 축소

추가 보강 항목 (같은 이슈에서 추적)

• trustProxy=true + OA_ALLOWED_IPS 동시 사용 시 경고/차단 로직
• Rate limit 추가 (토큰 탈취 시 과부하 완화)
• OA_SERVICES 기반 standalone logs 경로에 path.resolve() + allowlist 디렉토리 체크
• OA_SERVICES 기반 standalone metrics URL에 protocol/host allowlist
• JWT maxAge 옵션 추가 (토큰 수명 정책)
• 에러 메시지 일반화 (내부 정보 노출 방지)

Acceptance Criteria

• 권한 없는 토큰으로 ns=* 호출 시 403
• 허용 namespace 내에서만 정상 조회
• capabilities 미포함 리소스 요청 시 403
• /v1/bundles/:id/download에도 동일 scope 적용
• 기존 테스트 회귀 통과

Test Scenarios

1. Token A (allowedNamespaces: ["prod"], capabilities: ["pods"]) -> ns=* 호출 -> 403
2. Token B (allowedNamespaces: ["prod"], capabilities: ["logs"]) -> metrics 요청 -> 403
3. Admin token -> ns=* 호출 -> 성공
4. /v1/bundles/:id/download scope 정책 적용 확인

Context

• 3인 보안 리뷰 합의 (도라미, 주호진, 차무희)
• 커밋: 36a7aa4cedbaee5452e0ad906545f17b1a6689c8
• 우선순위: P1 (Week 1 설계, Week 2 구현)
• 관련 이슈: [Security] Upgrade vulnerable dependencies (undici/fastify/ajv) #7 (dependency upgrades)

[jjangg96]

Implementation is ready in PR #10. The branch has been reconciled with the merged dependency PR #9 and is currently mergeable, but repository branch protection still requires a review before merge. Local validation after conflict resolution: npm audit, npm test, npm run build, and git diff --check all pass.

[jjangg96]

추후 처리 메모입니다.

#8의 핵심 RBAC 요구사항은 PR #10으로 main에 머지되었습니다.

완료된 범위:

• JWT claim 기반 allowedNamespaces, allowedServices, capabilities, admin 권한 모델 적용
• non-admin 토큰의 ns=* 요청 차단
• namespace/service/capability scope를 pods, bundles, bundle download 경로에 적용
• standalone /v1/services 응답을 scope 기준으로 필터링하고 non-admin 응답에서 민감 필드 축소
• 관련 route 테스트 추가 및 build/test/audit 검증 완료

남겨둘 항목:

• 아래 보강 항목들은 기존 운영 서버 호환성을 우선해서 이번 패치에서 기본 동작 변경 없이 남겨둡니다.
• OA_TRUST_PROXY=true + OA_ALLOWED_IPS 조합의 경고/차단 정책
• rate limit
• standalone logs path의 path.resolve() + allowlist 디렉토리 정책
• standalone metrics URL의 protocol/host allowlist 정책
• JWT maxAge 정책
• 에러 메시지 일반화 추가 검토

다음에 처리할 때는 기존 설치 환경을 깨지 않도록 기본 차단 정책으로 바로 바꾸기보다, opt-in 설정 또는 별도 major/minor 변경 정책을 먼저 정한 뒤 진행하는 것이 좋겠습니다.

관련 PR: #10