1.3. アーキテクチャー

この例では、2 つの保護されたエンドポイントを持つ単純なマイクロサービスのセットアップを示します。

トークンベースのアクセス制御

これらのエンドポイントへのアクセスは、ベアラートークンを使用して制御されます。アクセスするには、次の条件を満たす必要があります。

Keycloak サーバーによって発行されるベアラートークンは、以下の役割を果たします。

ユーザー識別子: トークンが発行された対象 (ユーザー) を示します。
クライアント参照: OAuth 2.0 Authorization Server 標準に従って、ユーザーに代わって動作するクライアントアプリケーションを識別します。

エンドポイントとアクセスポリシー

/api/users/me の場合:

レスポンス: トークンから派生した JSON オブジェクトとしてユーザーの詳細を返します。

応答の例

{
  "user": {
    "id": "1234",
    "username": "johndoe",
    "email": "johndoe@example.com"
  }
}

{
  "user": {
    "id": "1234",
    "username": "johndoe",
    "email": "johndoe@example.com"
  }
}

Copy to Clipboard

Toggle word wrap

/api/admin の場合:

分離された認可

この例では、リソースを保護するためのロールベースアクセス制御 (RBAC) ポリシーの使用を説明します。主なポイントは次のとおりです。

ポリシーの柔軟性: Keycloak は、属性ベースやカスタムポリシーなど、さまざまなポリシータイプをサポートしており、きめ細かい制御が可能となります。
分離されたアプリケーションロジック: 認可ポリシーは Keycloak によって完全に管理されるため、アプリケーションはコア機能に集中できます。