Keycloak とアプリケーション認可の責務分担を整理する ー 社内経費申請システムのサンプルで試す
Next.js / PostgreSQL / Keycloak を使った社内経費申請システムを題材に、画面制御、業務ルール、RLS をどこに置くべきかを整理します。
Next.js / PostgreSQL / Keycloak を使った社内経費申請システムを題材に、画面制御、業務ルール、RLS をどこに置くべきかを整理します。
アプリケーション認可を整理したメモです。PDP / PEP / PIP、RBAC / ABAC、入力検証とドメインルールの境界を踏まえ、認可ロジックの置き場所を判断する材料をまとめます。
Keycloak で ID トークンの JWE を有効にし、Protected Header の alg / enc と復号後の中身を対応づけて確認します。RFC 7516 を読みながら、JWS との違い、Nested JWT になる理由、鍵管理モードの見方も整理します。
OAuth 2.0 の Token Introspection(RFC 7662)を、Keycloak を使って再現して確認します。introspection は「トークン解析」ではなく、認可サーバへトークンの状態を問い合わせる仕組みです。Token Introspection の検討についても考えます。
Next.js 15.5.3 でのnonce ベースCSP 実装について、middleware.ts を使った設定方法から実装時に発生するクライアントサイド遷移での課題、UI ライブラリとの互換性問題まで実際の経験をもとに学習した内容をまとめます。