RBAC と JWT 検証で Micronaut API を保護する

このガイドでは、Logto が発行する ロールベースのアクセス制御 (RBAC) と JSON Web Token (JWT) を使用して、Micronaut API に認可 (Authorization) を実装し、セキュリティを強化する方法を説明します。

始める前に

クライアントアプリケーションは Logto から アクセス トークン (Access token) を取得する必要があります。まだクライアント統合を設定していない場合は、React、Vue、Angular などのクライアントフレームワーク向け クイックスタート や、サーバー間アクセス用の マシン間通信 (M2M) ガイド をご覧ください。

このガイドは、Micronaut アプリケーションにおけるこれらのトークンの サーバーサイド検証 に焦点を当てています。

学べること

• JWT 検証：アクセス トークン (Access token) を検証し、認証 (Authentication) 情報を抽出する方法
• ミドルウェア実装：API 保護のための再利用可能なミドルウェアの作成
• 権限モデル：さまざまな認可 (Authorization) パターンの理解と実装
  • アプリケーション全体のエンドポイント向けグローバル API リソース
  • テナント固有の機能制御のための組織 (Organization) 権限
  • マルチテナントデータアクセスのための組織レベル API リソース
• RBAC 統合：API エンドポイントでロールベースの権限 (Permission) とスコープ (Scope) を強制する方法

前提条件

• Java の最新安定版がインストールされていること
• Micronaut および Web API 開発の基礎知識
• Logto アプリケーションが設定済み（必要に応じて クイックスタート を参照）

権限モデルの概要

保護を実装する前に、アプリケーションアーキテクチャに適した権限モデルを選択してください。これは Logto の 3 つの主要な 認可 (Authorization) シナリオ に対応しています：

グローバル API リソース

• ユースケース: アプリケーション全体で共有される API リソースを保護する（組織固有ではない）
• トークンタイプ: グローバルオーディエンスを持つアクセス トークン
• 例: パブリック API、コアプロダクトサービス、管理エンドポイント
• 最適: すべての顧客が利用する API を持つ SaaS プロダクト、テナント分離のないマイクロサービス
• 詳細: グローバル API リソースの保護

組織（非 API）権限

• ユースケース: 組織固有のアクション、UI 機能、ビジネスロジックを制御する（API ではない）
• トークンタイプ: 組織固有オーディエンスを持つ組織トークン
• 例: 機能ゲーティング、ダッシュボード権限、メンバー招待コントロール
• 最適: 組織固有の機能やワークフローを持つマルチテナント SaaS
• 詳細: 組織（非 API）権限の保護

組織レベル API リソース

• ユースケース: 特定の組織コンテキスト内でアクセス可能な API リソースを保護する
• トークンタイプ: API リソースオーディエンス ＋ 組織コンテキストを持つ組織トークン
• 例: マルチテナント API、組織スコープのデータエンドポイント、テナント固有のマイクロサービス
• 最適: API データが組織スコープとなるマルチテナント SaaS
• 詳細: 組織レベル API リソースの保護

💡 進める前にモデルを選択してください — このガイド全体で選択したアプローチを参照します。

クイック準備手順

Logto リソースと権限の設定

グローバル API リソース

1. API リソースの作成： コンソール → API リソース にアクセスし、API を登録します（例： https://api.yourapp.com）
2. 権限の定義： read:products や write:orders などのスコープを追加します – 権限付き API リソースの定義 を参照
3. グローバルロールの作成： コンソール → ロール にアクセスし、API 権限を含むロールを作成します – グローバルロールの設定 を参照
4. ロールの割り当て： API アクセスが必要なユーザーまたは M2M アプリケーションにロールを割り当てます

組織（非 API）権限

1. 組織権限の定義： 組織テンプレートで invite:member や manage:billing などの非 API 組織権限を作成します
2. 組織ロールの設定： 組織テンプレートで組織固有のロールを設定し、それらに権限を割り当てます
3. 組織ロールの割り当て： 各組織コンテキスト内でユーザーに組織ロールを割り当てます

組織レベル API リソース

1. API リソースの作成： 上記と同様に API リソースを登録しますが、組織コンテキストで使用します
2. 権限の定義： 組織コンテキストにスコープされた read:data や write:settings などのスコープを追加します
3. 組織テンプレートの設定： API リソース権限を含む組織ロールを設定します
4. 組織ロールの割り当て： API 権限を含む組織ロールにユーザーまたは M2M アプリケーションを割り当てます
5. マルチテナント設定： API が組織スコープのデータとバリデーションを処理できることを確認します

RBAC が初めてですか？:

ロールベースのアクセス制御ガイド からステップバイステップのセットアップ手順を始めましょう。

クライアントアプリケーションの更新

クライアントで適切なスコープをリクエストする：

• ユーザー認証 (Authentication)： アプリの更新 → で API スコープや組織コンテキストをリクエスト
• マシン間通信： M2M スコープの設定 → でサーバー間アクセスを設定

通常、クライアント設定を次のいずれか、または複数を含めるように更新します：

• OAuth フローでの scope パラメーター
• API リソースアクセス用の resource パラメーター
• 組織コンテキスト用の organization_id

コーディング前に:

テストするユーザーまたは M2M アプリが、API に必要な権限を含む適切なロールまたは組織ロールに割り当てられていることを確認してください。

API プロジェクトの初期化

新しい Micronaut プロジェクトを初期化するには、Micronaut CLI を使用するか、Micronaut Launch を利用できます。

Micronaut CLI を使用する場合：

mn create-app com.example.your-api-name \
    --features=security-jwt,http-server-netty \
    --build=maven \
    --lang=java
cd your-api-name

または Micronaut Launch にアクセスし、以下を選択してください：

• アプリケーションタイプ: Micronaut Application
• Java バージョン: 17
• ビルド: Maven
• 機能: security-jwt, http-server-netty

これにより、基本的な Micronaut プロジェクトが作成されます：

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>com.example</groupId>
  <artifactId>your-api-name</artifactId>
  <version>0.1</version>
  <packaging>jar</packaging>

  <parent>
    <groupId>io.micronaut.platform</groupId>
    <artifactId>micronaut-parent</artifactId>
    <version>4.2.0</version>
  </parent>

  <properties>
    <packaging>jar</packaging>
    <jdk.version>17</jdk.version>
    <release.version>17</release.version>
    <micronaut.version>4.2.0</micronaut.version>
    <micronaut.runtime>netty</micronaut.runtime>
    <exec.mainClass>com.example.Application</exec.mainClass>
  </properties>
</project>

基本的なコントローラーを作成します：

src/main/java/com/example/HelloController.java

package com.example;

import io.micronaut.http.annotation.Controller;
import io.micronaut.http.annotation.Get;
import io.micronaut.http.MediaType;
import io.micronaut.http.annotation.Produces;

@Controller("/hello")
public class HelloController {

    @Get
    @Produces(MediaType.TEXT_PLAIN)
    public String index() {
        return "Hello World";
    }
}

注記:

コントローラーやサービス、その他の機能のセットアップ方法については、Micronaut のドキュメントを参照してください。

定数とユーティリティの初期化

トークンの抽出と検証を処理するために、コード内で必要な定数やユーティリティを定義してください。有効なリクエストには、Authorization ヘッダーが Bearer <アクセス トークン (Access token)> の形式で含まれている必要があります。

AuthorizationException.java

public class AuthorizationException extends RuntimeException {
    private final int statusCode;

    public AuthorizationException(String message) {
        this(message, 403); // デフォルトは 403 Forbidden
    }

    public AuthorizationException(String message, int statusCode) {
        super(message);
        this.statusCode = statusCode;
    }

    public int getStatusCode() {
        return statusCode;
    }
}

Logto テナント情報の取得

Logto が発行したトークンを検証するには、次の値が必要です：

• JSON Web Key Set (JWKS) URI：JWT 署名を検証するために使用される Logto の公開鍵の URL。
• 発行者 (Issuer)：期待される発行者値（Logto の OIDC URL）。

まず、Logto テナントのエンドポイントを見つけます。これはさまざまな場所で確認できます：

• Logto コンソールの 設定 → ドメイン で確認できます。
• Logto で設定した任意のアプリケーション設定内の 設定 → エンドポイント & 資格情報 で確認できます。

OpenID Connect ディスカバリーエンドポイントから取得する

これらの値は、Logto の OpenID Connect ディスカバリーエンドポイントから取得できます：

https://<your-logto-endpoint>/oidc/.well-known/openid-configuration

以下はレスポンス例です（他のフィールドは省略しています）：

{
  "jwks_uri": "https://your-tenant.logto.app/oidc/jwks",
  "issuer": "https://your-tenant.logto.app/oidc"
}

コード内にハードコーディングする（推奨されません）

Logto では JWKS URI や発行者 (Issuer) のカスタマイズができないため、これらの値をコード内にハードコーディングすることも可能です。ただし、将来的に設定が変更された場合のメンテナンス負荷が増加する可能性があるため、本番アプリケーションでは推奨されません。

• JWKS URI：https://<your-logto-endpoint>/oidc/jwks
• 発行者 (Issuer)：https://<your-logto-endpoint>/oidc

トークンと権限の検証

トークンを抽出し OIDC 設定を取得した後、次の点を検証してください：

• 署名：JWT は有効であり、Logto（JWKS 経由）によって署名されている必要があります。
• 発行者 (Issuer)：Logto テナントの発行者 (Issuer) と一致している必要があります。
• オーディエンス (Audience)：Logto に登録された API のリソースインジケーター、または該当する場合は組織コンテキストと一致している必要があります。
• 有効期限：トークンが有効期限切れでないこと。
• 権限 (スコープ) (Permissions (scopes))：トークンに API / アクションに必要なスコープが含まれている必要があります。スコープは scope クレーム内のスペース区切り文字列です。
• 組織コンテキスト：組織レベルの API リソースを保護する場合、organization_id クレームを検証してください。

JWT の構造やクレームについて詳しくは JSON Web Token を参照してください。

各権限モデルで確認すべきこと

クレームや検証ルールは権限モデルによって異なります：

グローバル API リソース

• オーディエンスクレーム (aud): API リソースインジケーター
• 組織クレーム (organization_id): なし
• チェックするスコープ（権限） (scope): API リソース権限

組織（非 API）権限

• オーディエンスクレーム (aud): urn:logto:organization:<id>（組織コンテキストが aud クレームに含まれる）
• 組織クレーム (organization_id): なし
• チェックするスコープ（権限） (scope): 組織権限

組織レベル API リソース

• オーディエンスクレーム (aud): API リソースインジケーター
• 組織クレーム (organization_id): 組織 ID（リクエストと一致する必要あり）
• チェックするスコープ（権限） (scope): API リソース権限

非 API 組織権限の場合、組織コンテキストは aud クレーム（例：urn:logto:organization:abc123）で表されます。organization_id クレームは組織レベル API リソーストークンにのみ存在します。

ヒント:

セキュアなマルチテナント API のため、必ず権限（スコープ）とコンテキスト（オーディエンス、組織）の両方を検証してください。

検証ロジックの追加

フレームワークによって異なる JWT ライブラリを使用しています。必要な依存関係をインストールしてください：

pom.xml に以下を追加してください：

<dependency>
    <groupId>io.micronaut.security</groupId>
    <artifactId>micronaut-security-jwt</artifactId>
</dependency>
<dependency>
    <groupId>io.micronaut</groupId>
    <artifactId>micronaut-http-server-netty</artifactId>
</dependency>

application.yml

micronaut:
  security:
    authentication: bearer
    token:
      jwt:
        signatures:
          jwks:
            logto:
              url: ${JWKS_URI:https://your-tenant.logto.app/oidc/jwks}
        claims-validators:
          issuer: ${JWT_ISSUER:https://your-tenant.logto.app/oidc}

JwtClaimsValidator.java

import io.micronaut.security.token.Claims;
import io.micronaut.security.token.validator.TokenValidator;
import jakarta.inject.Singleton;
import org.reactivestreams.Publisher;
import reactor.core.publisher.Mono;
import java.util.Arrays;
import java.util.List;

@Singleton
public class JwtClaimsValidator implements TokenValidator {

    @Override
    public Publisher<Boolean> validateToken(String token, Claims claims) {
        try {
            verifyPayload(claims);
            return Mono.just(true);
        } catch (AuthorizationException e) {
            // Micronaut がステータスコードを適切に処理します
            return Mono.just(false);
        }
    }

    private void verifyPayload(Claims claims) {
        // 発行者 (Issuer) の検証は Micronaut JWT 設定によって自動的に処理されます
        // ここで権限モデルに基づいた追加の検証ロジックを実装してください
        // 下記のヘルパーメソッドをクレーム (Claim) 抽出に利用できます

        // 例: throw new AuthorizationException("Insufficient permissions");
    }

    // Micronaut JWT 用ヘルパーメソッド
    @SuppressWarnings("unchecked")
    private List<String> extractAudiences(Claims claims) {
        Object aud = claims.get("aud");
        if (aud instanceof List) {
            return (List<String>) aud;
        } else if (aud instanceof String) {
            return Arrays.asList((String) aud);
        }
        return List.of();
    }

    private String extractScopes(Claims claims) {
        return (String) claims.get("scope");
    }

    private String extractOrganizationId(Claims claims) {
        return (String) claims.get("organization_id");
    }
}

権限 (Permission) モデルに従って、適切な検証ロジックを実装してください：

グローバル API リソース

// audience クレームが API リソースインジケーターと一致するか確認
List<String> audiences = extractAudiences(token); // フレームワーク固有の抽出
if (!audiences.contains("https://your-api-resource-indicator")) {
    throw new AuthorizationException("Invalid audience");
}

// グローバル API リソースに必要なスコープを確認
List<String> requiredScopes = Arrays.asList("api:read", "api:write"); // 実際に必要なスコープに置き換えてください
String scopes = extractScopes(token); // フレームワーク固有の抽出
List<String> tokenScopes = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();

if (!tokenScopes.containsAll(requiredScopes)) {
    throw new AuthorizationException("Insufficient scope");
}

組織 (Organization)（非 API）権限 (Permissions)

// audience クレームが組織 (Organization) 形式と一致するか確認
List<String> audiences = extractAudiences(token); // フレームワーク固有の抽出
boolean hasOrgAudience = audiences.stream()
    .anyMatch(aud -> aud.startsWith("urn:logto:organization:"));

if (!hasOrgAudience) {
    throw new AuthorizationException("Invalid audience for organization permissions");
}

// 組織 ID がコンテキストと一致するか確認（リクエストコンテキストから抽出が必要な場合あり）
String expectedOrgId = "your-organization-id"; // リクエストコンテキストから抽出
String expectedAud = "urn:logto:organization:" + expectedOrgId;
if (!audiences.contains(expectedAud)) {
    throw new AuthorizationException("Organization ID mismatch");
}

// 必要な組織 (Organization) スコープを確認
List<String> requiredScopes = Arrays.asList("invite:users", "manage:settings"); // 実際に必要なスコープに置き換えてください
String scopes = extractScopes(token); // フレームワーク固有の抽出
List<String> tokenScopes = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();

if (!tokenScopes.containsAll(requiredScopes)) {
    throw new AuthorizationException("Insufficient organization scope");
}

組織レベル API リソース

// audience クレームが API リソースインジケーターと一致するか確認
List<String> audiences = extractAudiences(token); // フレームワーク固有の抽出
if (!audiences.contains("https://your-api-resource-indicator")) {
    throw new AuthorizationException("Invalid audience for organization-level API resources");
}

// 組織 ID がコンテキストと一致するか確認（リクエストコンテキストから抽出が必要な場合あり）
String expectedOrgId = "your-organization-id"; // リクエストコンテキストから抽出
String orgId = extractOrganizationId(token); // フレームワーク固有の抽出
if (!expectedOrgId.equals(orgId)) {
    throw new AuthorizationException("Organization ID mismatch");
}

// 組織レベル API リソースに必要なスコープを確認
List<String> requiredScopes = Arrays.asList("api:read", "api:write"); // 実際に必要なスコープに置き換えてください
String scopes = extractScopes(token); // フレームワーク固有の抽出
List<String> tokenScopes = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();

if (!tokenScopes.containsAll(requiredScopes)) {
    throw new AuthorizationException("Insufficient organization-level API scopes");
}

クレーム (Claims) を抽出するためのヘルパーメソッドはフレームワークごとに異なります。上記のフレームワーク固有のバリデーションファイルで実装の詳細を確認してください。

ミドルウェアを API に適用する

これで、保護された API ルートにミドルウェアを適用します。

ProtectedController.java

import io.micronaut.http.annotation.Controller;
import io.micronaut.http.annotation.Get;
import io.micronaut.security.annotation.Secured;
import io.micronaut.security.authentication.Authentication;
import io.micronaut.security.rules.SecurityRule;
import java.util.Arrays;
import java.util.List;
import java.util.Map;

@Controller("/api")
@Secured(SecurityRule.IS_AUTHENTICATED)
public class ProtectedController {

    @Get("/protected")
    public Map<String, Object> protectedEndpoint(Authentication authentication) {
        // 認証 (Authentication) から直接アクセス トークン情報へアクセス
        String scopes = (String) authentication.getAttributes().get("scope");
        List<String> scopeList = scopes != null ? Arrays.asList(scopes.split(" ")) : List.of();

        return Map.of(
            "sub", authentication.getName(),
            "client_id", authentication.getAttributes().get("client_id"),
            "organization_id", authentication.getAttributes().get("organization_id"),
            "scopes", scopeList,
            "audience", authentication.getAttributes().get("aud")
        );
    }
}

保護された API のテスト

アクセス トークン (Access tokens) の取得

クライアントアプリケーションから: クライアント統合を設定している場合、アプリは自動的にトークンを取得できます。アクセス トークン (Access token) を抽出し、API リクエストで使用してください。

curl / Postman でのテスト用:

1. ユーザートークン: クライアントアプリの開発者ツールを使い、localStorage またはネットワークタブからアクセス トークン (Access token) をコピーします。

2. マシン間通信トークン: クライアントクレデンシャルフローを使用します。以下は curl を使った非公式な例です：

   curl -X POST https://your-tenant.logto.app/oidc/token \
     -H "Content-Type: application/x-www-form-urlencoded" \
     -d "grant_type=client_credentials" \
     -d "client_id=your-m2m-client-id" \
     -d "client_secret=your-m2m-client-secret" \
     -d "resource=https://your-api-resource-indicator" \
     -d "scope=api:read api:write"

   resource や scope パラメーターは API リソースや権限に応じて調整が必要です。API が組織スコープの場合は organization_id パラメーターも必要になる場合があります。

ヒント:

トークンの内容を確認したい場合は、 JWT デコーダー を使って JWT をデコード・検証できます。

保護されたエンドポイントのテスト

有効なトークンリクエスト

curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9..." \
  http://localhost:3000/api/protected

期待されるレスポンス:

{
  "auth": {
    "sub": "user123",
    "clientId": "app456",
    "organizationId": "org789",
    "scopes": ["api:read", "api:write"],
    "audience": ["https://your-api-resource-indicator"]
  }
}

トークンなし

curl http://localhost:3000/api/protected

期待されるレスポンス (401):

{
  "error": "Authorization header is missing"
}

無効なトークン

curl -H "Authorization: Bearer invalid-token" \
  http://localhost:3000/api/protected

期待されるレスポンス (401):

{
  "error": "Invalid token"
}

権限モデルごとのテスト

グローバル API リソース

グローバルスコープで保護された API のテストシナリオ：

• 有効なスコープ: 必要な API スコープ（例: api:read, api:write）を含むトークンでテスト
• スコープ不足: 必要なスコープがない場合は 403 Forbidden を期待
• 誤ったオーディエンス: オーディエンスが API リソースと一致しない場合は 403 Forbidden を期待

# 必要なスコープがないトークン - 403 を期待
curl -H "Authorization: Bearer token-without-required-scopes" \
  http://localhost:3000/api/protected

組織 (非 API) 権限

組織固有のアクセス制御のテストシナリオ：

• 有効な組織トークン: 正しい組織コンテキスト（組織 ID とスコープ）を含むトークンでテスト
• スコープ不足: ユーザーが要求された操作の権限を持たない場合は 403 Forbidden を期待
• 誤った組織: オーディエンスが組織コンテキスト（urn:logto:organization:<organization_id>）と一致しない場合は 403 Forbidden を期待

# 別の組織用トークン - 403 を期待
curl -H "Authorization: Bearer token-for-different-organization" \
  http://localhost:3000/api/protected

組織レベル API リソース

API リソース検証と組織コンテキストを組み合わせたテストシナリオ：

• 有効な組織 + API スコープ: 組織コンテキストと必要な API スコープの両方を持つトークンでテスト
• API スコープ不足: 組織トークンに必要な API 権限がない場合は 403 Forbidden を期待
• 誤った組織: 別の組織のトークンで API にアクセスした場合は 403 Forbidden を期待
• 誤ったオーディエンス: オーディエンスが組織レベルの API リソースと一致しない場合は 403 Forbidden を期待

# API スコープがない組織トークン - 403 を期待
curl -H "Authorization: Bearer organization-token-without-api-scopes" \
  http://localhost:3000/api/protected

さらに詳しく

実践でのロールベースのアクセス制御 (RBAC)：アプリケーションのための安全な認可 (Authorization) の実装

マルチテナント SaaS アプリケーションの構築：設計から実装までの完全ガイド