1.2. Quarkus Security アーキテクチャーのコアコンポーネント

Quarkus Security は、HttpAuthenticationMechanism を使用して HTTP リクエストから認証情報を抽出し、それを IdentityProvider に委譲して認証情報を SecurityIdentity に変換します。たとえば、認証情報は Authorization ヘッダー、クライアント HTTPS 証明書、または Cookie から取得できます。

Quarkus Security が認証リクエストを拒否すると、HttpAuthenticationMechanism はクライアントに認証チャレンジを返します。チャレンジの種類は認証メカニズムにより異なります。たとえば、OIDC OpenID Connect (OIDC) 認可コードフローメカニズムを使用すると、リダイレクト URL が生成され、クライアントは認証のために OpenID Connect プロバイダーに返されます。

IdentityProvider は認証情報を検証し、それをユーザー名、ロール、元の認証情報、およびその他の属性を持つ SecurityIdentity にマッピングします。

認証されたリソースごとに SecurityIdentity インスタンスを注入し、認証されたアイデンティティー情報を取得できます。

他のコンテキストでは、同じ情報またはその一部の並列表現を他にも持つことが可能です。たとえば、Jakarta REST の SecurityContext や JSON Web Token (JWT) の JsonWebToken などです。

詳細は、Quarkus の アイデンティティープロバイダー ガイドを参照してください。

Quarkus Security はカスタマイズできるため、たとえば SecurityIdentity に認可ロールを追加したり、1 つ以上の SecurityAugmentor 実装を登録して優先順位を付けたりすることができます。

登録された SecurityIdentityAugmentor のインスタンスは、セキュリティー認証プロセスの最終段階で呼び出されます。詳細は、「Security Tips and Tricks」ガイドの Security Identity Customization セクションを参照してください。