カテゴリ: Micronaut 更新日: 2026/03/27

MicronautでCORS設定を有効化する方法!外部アクセス制御の基礎を完全マスター

MicronautでCORS設定を有効化する方法!外部アクセス制御の基礎
MicronautでCORS設定を有効化する方法!外部アクセス制御の基礎
先生と生徒の会話形式で理解しよう

生徒

「MicronautでAPIを作って、別のドメインで動いているReactやVueから呼び出そうとしたら、エラーが出て通信できませんでした。どうしてでしょうか?」

先生

「それはブラウザのセキュリティ機能による『CORS(コルス)』という壁にぶつかっている可能性が高いですね。異なるドメイン間でのデータのやり取りを許可する設定が必要になります。」

生徒

「セキュリティの仕組みなんですね。Micronautではどのようにその設定を有効にすればいいんですか?」

先生

「設定ファイルに数行書き加えるだけで、簡単に解決できます。今日はその基礎から具体的な書き方まで詳しく解説しますね!」

1. CORSの基本概念と重要性

1. CORSの基本概念と重要性
1. CORSの基本概念と重要性

CORS(オリジン間リソース共有)とは、あるドメインで実行されているWebアプリから、異なるドメインのサーバーにあるリソースにアクセスすることを許可するための仕組みです。現代のWeb開発では、バックエンドをJavaのMicronautで構築し、フロントエンドを独立したツールで開発することが一般的ですが、この際、通信の安全性を守るためにブラウザがデフォルトでアクセスを制限してしまいます。

この仕組みがないと、悪意のあるサイトが勝手にあなたの銀行サイトのAPIを呼び出してしまうといった攻撃が可能になってしまいます。しかし、正当な開発においてはこの制限を適切に解除しなければなりません。Micronaut(マイクロノート)では、開発者が安全かつ簡単にこのアクセス制御を管理できる機能が備わっています。

2. 設定ファイルでの有効化手順

2. 設定ファイルでの有効化手順
2. 設定ファイルでの有効化手順

MicronautでCORSを有効にする最も標準的な方法は、「application.yml(アプリケーション・ワイエムエル)」という設定ファイルに記述を追加することです。このファイルは、Javaのコードを直接書き換えることなくサーバーの挙動を調整できる魔法の設定シートのようなものです。

まずは、最もシンプルに全てのアクセスを許可する設定を見てみましょう。ただし、全ての扉を開け放つことは開発中には便利ですが、本番環境では注意が必要です。まずは以下の基本形を覚えて、サーバーが正しく反応するかを確かめるのが第一歩です。設定を書き換えた後は、サーバーの再起動を忘れないようにしましょう。


micronaut:
  server:
    cors:
      enabled: true

3. 特定のドメインだけを許可する詳細設定

3. 特定のドメインだけを許可する詳細設定
3. 特定のドメインだけを許可する詳細設定

セキュリティを高めるためには、信頼できる特定のドメイン(オリジン)だけを許可するのがベストです。例えば、自分のローカル開発環境である「http://localhost:3000」や、本番公開用のドメインを指定します。

Micronautの設定では、リスト形式で複数のドメインを指定することが可能です。これにより、特定のフロントエンドアプリだけがこのAPIを使えるという状態を作ることができます。不特定多数からの攻撃を防ぎつつ、必要な連携だけをスムーズに行えるようになるため、実務では必須の知識となります。設定の際は、プロトコル(httpやhttps)を含めて正確に記述しましょう。


micronaut:
  server:
    cors:
      enabled: true
      configurations:
        web:
          allowedOrigins:
            - "http://localhost:3000"
            - "https://www.example.com"

4. 許可するHTTPメソッドを指定する

4. 許可するHTTPメソッドを指定する
4. 許可するHTTPメソッドを指定する

ドメインの制限だけでなく、「どのような操作」を許可するかも重要です。HTTPには「見る(GET)」「送る(POST)」「書き換える(PUT)」「消す(DELETE)」といった様々なメソッドがあります。CORS設定では、これらのメソッドのうちどれを外部から受け付けるかを細かく決めることができます。

例えば、閲覧専用のAPIであればGETだけを許可し、データの更新は禁止するといった運用が可能です。Micronautではこれらを一覧で指定でき、指定外のメソッドでリクエストが来た場合はブラウザ側でエラーとして遮断されます。情報の出口と入り口をしっかり管理することが、安全なシステム作りの土台となります。


micronaut:
  server:
    cors:
      enabled: true
      configurations:
        api:
          allowedOrigins:
            - "http://localhost:8081"
          allowedMethods:
            - GET
            - POST

5. カスタムヘッダーの送受信を許可する

5. カスタムヘッダーの送受信を許可する
5. カスタムヘッダーの送受信を許可する

Webアプリでは、標準的な情報の他に「認証トークン」などの独自の情報をヘッダーに含めて送ることがよくあります。しかし、CORSの制限下では、標準以外の特殊なヘッダー(カスタムヘッダー)は勝手に送ることができません。

もし、フロントエンドから「Authorization」や「X-Custom-Header」といった情報を送る必要がある場合は、設定ファイルの「allowedHeaders」項目にその名前を明記する必要があります。これを忘れると、通信自体は成功しているのに、肝心の認証情報がサーバーに届かないといったトラブルが発生します。エラーメッセージに「Header not allowed」といった文言が出た際は、この項目を見直しましょう。

6. プリフライトリクエストの役割

6. プリフライトリクエストの役割
6. プリフライトリクエストの役割

複雑なリクエストを送信しようとすると、ブラウザは本番の通信を行う前に「OPTIONS(オプションズ)」というメソッドで、「このリクエストを送っても大丈夫ですか?」という問い合わせをサーバーに投げます。これをプリフライトリクエストと呼びます。MicronautのCORS機能はこの問い合わせに対しても自動で適切な返答を行ってくれます。

自分でこのOPTIONSメソッドに対する処理をプログラムで書く必要はありません。設定ファイルでCORSを有効にしていれば、Micronautがよしなに処理してくれるからです。初心者のうちは、ネットワークログに身に覚えのないOPTIONS通信が出てきても、「ああ、事前確認をしているんだな」と理解しておけば十分です。

7. キャッシュによる通信効率の向上

7. キャッシュによる通信効率の向上
7. キャッシュによる通信効率の向上

毎回プリフライトリクエストを投げていると、通信回数が増えてアプリの動きが少し遅くなってしまいます。そこで、サーバーが返答する際に「この許可情報はしばらく有効ですよ」という有効期限を伝えることができます。これが「maxAge」という設定です。

秒単位で指定し、ブラウザはその時間内であれば事前確認なしでリクエストを送れるようになります。ユーザー体験を向上させるための地味ながら重要な設定です。あまり長くしすぎると設定変更が反映されにくくなりますが、適切に設定することでキビキビとした動作のWebアプリを実現できます。


micronaut:
  server:
    cors:
      enabled: true
      configurations:
        default:
          maxAge: 3600 # 1時間は事前確認を省略

8. 環境ごとに設定を切り替えるテクニック

8. 環境ごとに設定を切り替えるテクニック
8. 環境ごとに設定を切り替えるテクニック

開発中は制限を緩くし、本番では厳しくしたいという要望は当然あります。Micronautには「環境(プロファイル)」ごとに設定ファイルを使い分ける機能があります。例えば「application-dev.yml」には全てのオリジンを許可する設定を書き、「application-prod.yml」には特定のドメインだけを書くといった運用です。

これにより、開発のしやすさと本番の安全性を両立させることができます。Javaのコードを一切いじらずに、起動する時の設定一つで振る舞いを変えられる柔軟性は、Micronautがモダンなフレームワークと言われる理由の一つです。プロの現場では、このような環境分けが当たり前のように行われています。

9. セキュリティ認証との組み合わせ

9. セキュリティ認証との組み合わせ
9. セキュリティ認証との組み合わせ

CORSを有効にしても、それだけで誰でもデータが見れるようになるわけではありません。多くの場合、認証(ユーザー名やパスワードなど)と組み合わせて使います。CORS設定の中には「allowCredentials」という項目があり、これを有効にすることで、Cookieなどの認証情報を伴う通信が許可されます。

ただし、この項目を有効にする場合は「allowedOrigins」を「*(全て許可)」にすることができないという厳格なルールがあります。セキュリティの鎖は、一箇所でも緩んでいると全体が台無しになってしまうため、Micronautはこのような設定ミスを防ぐための仕組みもしっかり備えています。常に安全を第一に考える姿勢を、この設定を通じて学ぶことができます。

10. 動作確認のためのテスト用コントローラー

10. 動作確認のためのテスト用コントローラー
10. 動作確認のためのテスト用コントローラー

設定が終わったら、実際に通信ができるか試してみましょう。まずはシンプルな文字列を返すコントローラーを作成します。フロントエンド側がない場合は、ブラウザのコンソールから「fetch」関数などを使って、異なるポートからアクセスを試みることでCORSエラーが出るか、あるいは正しく結果が返るかを確認できます。

設定ミスを見つける一番の近道は、プログラムを動かしてログを見ることです。Micronautのログを詳細に出力するように設定しておけば、なぜリクエストが拒否されたのかのヒントが得られることもあります。一つ一つ丁寧に確認していけば、必ず通信を成功させることができます。JavaでのWebアプリ開発において、CORSは避けて通れない関門ですが、一度理解してしまえばもう怖いものはありません!


package com.example;

import io.micronaut.http.annotation.Controller;
import io.micronaut.http.annotation.Get;

@Controller("/cors-test")
public class CorsTestController {

    @Get("/")
    public String index() {
        return "CORSを越えて通信に成功しました!";
    }
}
関連記事:
Micronautで非同期HTTP処理を行う方法!リアクティブ対応の基礎 | Micronautで非同期HTTP処理を行う方法!リアクティブ対応の基礎知識
Micronautのリクエスト制限設定!Rate Limitingの基本 | Micronautのリクエスト制限(Rate Limiting)を徹底解説!サーバーを守る流量制御
Micronautのルーティングでカスタムアノテーションを使う方法 | Micronautのルーティングでカスタムアノテーションを活用!独自のHTTP処理を実装する方法
Micronautで認証が必要なルートを制御する方法 | Micronautで認証が必要なルートを制御する方法!セキュリティ設定の基本ガイド
Micronautのフィルタとは?HTTPリクエスト共通処理の追加方法 | Micronautのフィルタ徹底解説!HTTPリクエスト共通処理をスマートに追加する方法
Micronautのルーティングにプレフィックスを設定する方法!APIバージョニング | Micronautのルーティング設定ガイド!プレフィックス付与とAPIバージョニングの基本
MicronautでPOSTデータを受け取る方法!フォーム・JSON対応 | MicronautでPOSTデータを受け取る方法!JSONやフォーム送信を徹底解説
Micronautの例外処理とHTTPエラーレスポンスの書き方 | Micronautの例外処理とHTTPエラーレスポンスを完全攻略!初心者でも安心のWebAPIエラーハンドリング
カテゴリの一覧へ
新着記事
New1
Java
Java StringBufferとは?スレッド安全な文字列操作が必要な場面を整理
JavaのStringBufferクラスを徹底解説!スレッド安全な文字列操作の仕組みと使い分け
New2
Micronaut
Micronautで非同期HTTP処理を行う方法!リアクティブ対応の基礎
Micronautで非同期HTTP処理を行う方法!リアクティブ対応の基礎知識
New3
Micronaut
Micronautの@Prototypeとは?新しいインスタンスを生成するスコープの基本
Micronautの@Prototypeとは?新しいインスタンスを生成するスコープの基本
New4
Quarkus
CDIのスコープ(@ApplicationScoped, @RequestScoped)を理解する
QuarkusのCDIスコープを完全理解!@ApplicationScopedと@RequestScopedを初心者向けに徹底解説
人気記事
No.1
Java&Spring記事人気No1
Quarkus
GitHub ActionsでQuarkusを自動ビルドする
 25
Quarkus入門!GitHub ActionsでCI/CDパイプラインを構築して自動ビルドを実現する方法
No.2
Java&Spring記事人気No2
Java
Javaのコンパイルと実行の流れを解説!JVM・JDK・JREの違いも初心者向けに整理
 23
Javaのコンパイルと実行の流れを解説!JVM・JDK・JREの違いも初心者向けに整理
No.3
Java&Spring記事人気No3
Quarkus
GitHub ActionsでQuarkusを自動デプロイ
 22
QuarkusのCI/CD入門!GitHub Actionsで自動デプロイを実現する方法
No.4
Java&Spring記事人気No4
Java
Java Optional ifPresentの使い方|nullチェックを省略する書き方
 22
Java Optional ifPresentの使い方を徹底解説!nullチェックをスマートに省略する方法
No.5
Java&Spring記事人気No5
Micronaut
Micronautのルーティングにプレフィックスを設定する方法!APIバージョニング
 22
Micronautのルーティング設定ガイド!プレフィックス付与とAPIバージョニングの基本
No.6
Java&Spring記事人気No6
Micronaut
Micronautのフィルタとは?HTTPリクエスト共通処理の追加方法
 21
Micronautのフィルタ徹底解説!HTTPリクエスト共通処理をスマートに追加する方法
No.7
Java&Spring記事人気No7
Java
Java Functionの使い方まとめ|map変換と処理チェーンを理解する
 19
Java Functionインタフェースの使い方を完全ガイド!map変換と処理チェーンを理解する
No.8
Java&Spring記事人気No8
Java
Java Stringのequalsと==の違い|初心者が必ずつまずく比較ポイント
 18
JavaのString比較を徹底解説!equalsと==の違い、初心者が陥る罠とは?