2.4. OpenID Connect、SmallRye JWT、OAuth2 認証メカニズムの選択

認証メカニズムのユースケースリスト

• quarkus-oidc には、ベアラートークンの検証と、認可コードフローでのエンドユーザーの認証が可能な Keycloak などの OpenID Connect プロバイダーが必要です。いずれの場合も、quarkus-oidc には指定された OpenID Connect プロバイダーへの接続が必要です。
• ユーザー認証に認可コードフローが必要な場合、または複数のテナントをサポートする必要がある場合は、quarkus-oidc を使用します。quarkus-oidc は、認可コードフローとベアラーアクセストークンの両方を使用してユーザー情報を要求することもできます。
• ベアラートークンを検証する必要がある場合は、quarkus-oidc または quarkus-smallrye-jwt を使用します。
• ベアラートークンが JSON Web トークン (JWT) 形式の場合は、前述のリストから任意のエクステンションを使用できます。quarkus-oidc と quarkus-smallrye-jwt はどちらも、OpenID Connect プロバイダーがキーをローテーションするときに JsonWebKey (JWK) セットの更新をサポートします。したがって、リモートトークンのイントロスペクションを回避する必要がある、またはそれがプロバイダーによってサポートされていない場合は、quarkus-oidc または quarkus-smallrye-jwt を使用して JWT トークンを検証します。
• JWT トークンをリモートでイントロスペクトするには、リモートイントロスペクションを使用することで、不透明トークンまたはバイナリートークンの検証に quarkus-oidc を使用できます。quarkus-smallrye-jwt は、不透明トークンと JWT トークンの両方のリモートイントロスペクションをサポートしていません。代わりに、通常は OpenID Connect プロバイダーから取得されるローカルで利用可能なキーに依存しています。
• quarkus-oidc と quarkus-smallrye-jwt は、エンドポイントコードへの JWT と不透明トークンの注入をサポートします。注入された JWT トークンは、ユーザーに関する詳細情報を提供します。すべてのエクステンションには、Principal として注入されたトークンを含めることができます。
• quarkus-smallrye-jwt は、quarkus-oidc よりも多くのキー形式をサポートしています。quarkus-oidc は、JWK セットの一部である JWK 形式のキーのみを使用しますが、quarkus-smallrye-jwt は PEM キーをサポートします。
• quarkus-smallrye-jwt は、ローカルで署名されたトークン、内部で署名および暗号化されたトークン、および暗号化されたトークンを処理します。一方で、quarkus-oidc もこれらのトークンを検証できますが、不透明トークンとして扱い、リモートイントロスペクションを通じて検証します。