RAR (Rich Authorization Requests)

개요

RAR(Rich Authorization Requests)는 OAuth 2.0의 확장 사양으로, 클라이언트가 권한 부여 요청 시 단순한 Scope 기반이 아닌 세밀하고 구조화된 JSON 형식의 권한 요청을 전달할 수 있도록 설계된 프로토콜입니다. 이를 통해 사용자는 보다 명확하고 구체적인 접근 요청을 검토할 수 있으며, 금융·의료 등 고보안 환경에서 세분화된 액세스 제어를 실현합니다.

---

1. 개념 및 정의

항목	내용	비고
정의	OAuth 2.0에서 클라이언트가 JSON 기반의 정교한 권한 요청을 전송하는 확장 기능	RFC 9396 표준
목적	Scope 기반 권한 요청의 한계를 보완	세밀한 접근 제어 지원
필요성	금융, 오픈뱅킹 등에서 구조화된 권한 정의 필요	보안 및 투명성 강화

---

2. 특징

항목	내용	비고
구조화된 요청	JSON 포맷의 세부 권한 요청 전달	Scope 대신 request 객체 사용
사용자 투명성	사용자가 요청 내용을 구체적으로 확인 가능	동의 UX 향상
PAR과 통합	Pushed Authorization Requests와 함께 사용	민감 데이터 안전 전송
FAPI 호환	Financial-grade API 표준 지원	OpenID Connect 확장

RAR은 OAuth 2.0의 보안성과 세분화된 권한 모델을 결합한 차세대 인증 방식입니다.

---

3. 구성 요소

구성 요소	설명	비고
Authorization Server	클라이언트의 권한 요청을 수신하고 검증	권한 정책 평가 수행
Client	JSON 기반 RAR 요청 생성 및 전송	인증 요청 발신자
Resource Owner	요청된 권한을 검토 및 승인	사용자 동의 단계 포함
RAR Object	요청된 리소스 및 권한을 기술하는 JSON 구조	type, actions, locations 필드 포함

RAR은 클라이언트와 Authorization Server 간의 정책 교환을 구조화된 데이터 모델로 지원합니다.

---

4. 기술 요소

기술 요소	설명	비고
JSON Schema	권한 요청을 기술하는 데이터 포맷	표준화된 구조 제공
request 객체	OAuth 요청 내 RAR 데이터를 포함	JWT 또는 직접 JSON 전송 가능
Authorization Details	RFC 9396에서 정의된 JSON 구조	요청 세부 권한 기술
PAR 통합	민감 정보의 안전한 서버 간 전송	보안 채널 확보

RAR은 기존 OAuth 요청을 보다 표현력 있게 확장하여 세밀한 접근 정책을 지원합니다.

---

5. 장점 및 이점

장점	설명	기대 효과
세밀한 제어	단일 Scope 대신 세부 액션 단위 권한 정의	Least Privilege 구현
투명성 강화	사용자에게 명확한 권한 요청 표시	동의 관리 강화
보안성 향상	JSON 기반의 구조화된 요청으로 위조 방지	무결성 확보
표준 호환성	OAuth 2.0 및 OpenID Connect와 완전 호환	확장성 높은 보안 모델

RAR은 특히 Open Banking 및 금융 API 인증에서 핵심적인 역할을 수행합니다.

---

6. 주요 활용 사례 및 고려사항

사례	설명	비고
Open Banking	계좌 조회, 송금 등 세분화된 권한 요청	FAPI 2.0 규격 반영
Healthcare API	환자 데이터 접근 요청 시 세부 액세스 범위 지정	개인정보 보호 강화
Cloud Access Control	리소스 단위 접근 제어 정의	Zero Trust 정책 강화
Enterprise SSO	다양한 리소스의 세분화된 인증 관리	RBAC(역할기반 접근제어)와 연동

RAR 도입 시 JSON 스키마 설계와 권한 검증 로직의 복잡성을 고려해야 합니다.

---

7. 결론

RAR(Rich Authorization Requests)는 OAuth 2.0 환경에서 Scope 기반 권한 모델을 보완하고, 클라이언트가 구조화된 JSON 요청을 통해 세밀한 접근 제어를 구현할 수 있도록 하는 핵심 기술입니다. 보안성과 사용자 신뢰를 동시에 확보하며, FAPI 및 Open Banking과 같은 고신뢰 인증 환경에서 표준으로 자리잡고 있습니다.