QuarkusとKeycloakで始めるOAuth2・JWT認証入門｜初心者向け認証・認可の完全ガイド

QuarkusとKeycloak連携による認証・認可の実装

先生と生徒の会話形式で理解しよう

生徒

「Quarkusでログイン機能を作りたいんですが、OAuth2とかJWTとか、言葉が難しくて混乱しています…」

先生

「Quarkusは認証や認可の仕組みがとても整理されているので、ポイントを押さえれば理解しやすいですよ。」

生徒

「Keycloakっていうのも聞きました。Quarkusと一緒に使う理由は何ですか？」

先生

「Keycloakは認証サーバーとして使えて、Quarkusと連携するとOAuth2やJWT認証を簡単に実装できます。順番に見ていきましょう。」

1. Quarkusとは何かを初心者向けに整理

Quarkusは、Javaで高速に動作するアプリケーションを作るためのフレームワークです。クラウドネイティブやマイクロサービスに強く、起動が速くメモリ消費が少ない点が特徴です。 REST API開発との相性が良く、セキュリティ機能も最初から用意されています。 Quarkus 認証認可、Quarkus セキュリティ、Quarkus OAuth2、Quarkus JWT といったキーワードで検索されることが多く、業務システムや学習用途の両方で注目されています。特に初心者にとっては、設定ファイル中心で実装できる点が理解しやすいポイントです。

2. OAuth2とJWT認証の基本イメージ

OAuth2は「認証を専門のサーバーに任せる仕組み」です。アプリケーション自身がIDやパスワードを直接管理せず、信頼できる認証サーバーにログイン処理を委ねます。 JWTは、その結果として発行されるトークン形式の一つで、ユーザー情報や有効期限をまとめた文字列です。 Quarkus JWT 認証では、このトークンを使ってアクセス制御を行います。初心者の方は「ログイン成功の証明書のようなもの」と考えると理解しやすくなります。

3. Keycloakの役割とQuarkus連携の全体像

Keycloakはオープンソースの認証・認可サーバーです。ユーザー管理、ロール管理、パスワード管理をまとめて担当します。 QuarkusとKeycloakを連携させることで、アプリ側では難しいセキュリティ処理をほとんど書かずに済みます。構成としては、ブラウザやクライアントがKeycloakにログインし、発行されたJWTをQuarkusアプリに渡してAPIを呼び出す流れになります。この構成はQuarkus Keycloak 認証連携の定番パターンです。

4. Quarkusプロジェクト作成と必要な拡張機能

QuarkusでOAuth2やJWT認証を使うには、セキュリティ関連の拡張機能を追加します。 REST APIを作る場合、JWT拡張を入れるだけで基本的な準備は完了します。初心者は「拡張機能を追加すると機能が使える」と覚えるとよいでしょう。


<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-smallrye-jwt</artifactId>
</dependency>

5. application.propertiesでのJWT設定

Quarkusでは設定ファイルに認証情報を書きます。 Keycloakの公開鍵やトークン発行者を指定することで、 QuarkusはJWTを自動で検証します。設定ファイル中心の設計は、初心者でも全体像を把握しやすい特徴です。


quarkus.smallrye-jwt.auth-mechanism=MP-JWT
mp.jwt.verify.publickey.location=publicKey.pem
mp.jwt.verify.issuer=http://localhost:8080/realms/sample

6. 認証付きREST APIの基本実装

JWT認証が有効になると、トークンを持たないアクセスは拒否されます。 REST APIでは、アノテーションを使って認証必須にできます。この方法はQuarkus 認証実装の中でも最もシンプルです。


import jakarta.annotation.security.RolesAllowed;
import jakarta.ws.rs.GET;
import jakarta.ws.rs.Path;

@Path("/secure")
public class SecureResource {

    @GET
    @RolesAllowed("user")
    public String secureEndpoint() {
        return "認証されたユーザーのみアクセス可能です";
    }
}


認証されたユーザーのみアクセス可能です

7. ロールによる認可の考え方

認証は「誰か」を確認する仕組みで、認可は「何をしてよいか」を決める仕組みです。 Keycloakではロールをユーザーに割り当て、 Quarkus側ではそのロールを使ってアクセス制御を行います。これにより、管理者だけが使える機能などを簡単に実装できます。 Quarkus 認可設計を理解することで、実務レベルのAPIが作れるようになります。


@GET
@RolesAllowed("admin")
@Path("/admin")
public String adminOnly() {
    return "管理者専用APIです";
}

8. 初心者がつまずきやすいポイントと理解のコツ

初心者が混乱しやすい点は、OAuth2、JWT、Keycloak、Quarkusの役割が混ざってしまうことです。 Keycloakは認証サーバー、QuarkusはAPIサーバー、JWTは通行証というように役割を分けて考えると理解しやすくなります。また、最初は設定ファイルとサンプルAPIだけに集中し、細かい仕様は後回しにすると学習が進みやすくなります。 Quarkus OAuth2 JWT 初心者という検索キーワードで調べる方にも役立つ構成です。

Java Gold保持者×現役PLによる直接指導【Quarkus・ネイティブJava実践】

【Quarkus実践】60分でネイティブJavaを完全攻略｜Java Gold保持者による実務直結ロードマップ

「Java Gold保持者」の視点で学ぶ。試験の罠と実務の境界線を60分で完全攻略。

「Quarkus」で次世代Java開発を極める。Java Gold保持者が教える、GraalVMネイティブイメージの衝撃。

KubernetesネイティブJavaの決定版、Quarkus。本講座では、コンテナ環境で圧倒的なパフォーマンスを誇る「爆速起動・超低メモリ」の仕組みをわずか60分で凝縮して学びます。単なる文法解説ではなく、Java Gold保持者の視点で、GraalVMによるネイティブコンパイルや、開発効率を劇的に高める「Live Coding」の本質を理解し、現場で即戦力として通用する実戦ルートを体験します。

具体的なワークショップ内容と実務スキル

【重点攻略テーマ】
モダンなクラウド基盤で必須となるQuarkusの拡張機能（Extensions）とエコシステムを徹底攻略。従来のSpring Bootとのアーキテクチャの違いや、ビルド時メタデータ処理による最適化を、現役PLの設計視点でロジカルに整理。リソース消費を最小化しつつ、開発生産性を最大化する「プロの設計解」を提示します。

【開発環境・ノウハウ】
Java Gold保持者だからこそ教えられる、ネイティブ化を想定した堅牢なコーディング制約を公開。ハローワーク職業訓練講師として培った「難解な分散システム理論を直感的に伝える」手法で、リアクティブプログラミングの基礎までを網羅的に伝授するカリキュラムです。