非公開ユーザー
株式会社SQUEEZE|旅館・ホテル|その他情報システム関連職|50-100人未満|ユーザー(利用者)|契約タイプ 分からない
認証基盤を素早く整えられる
IDaaSで利用
良いポイント
アプリケーションのログイン基盤として、Universal Login、セッション管理、JWTの発行・検証、M2M認証まで一通り揃っている点が便利です。特に、自前でユーザー認証やトークン発行の仕組みを作らずに済むため、プロダクト側は業務ロジックに集中しやすくなります。
実装面では、JWKSを使ったRS256によるJWT検証や、audienceとissuerの確認、client credentialsによるサービス間認証など、WebアプリとAPIの境界をきちんと分けて設計しやすいです。管理画面ログイン、API用のaccess token、M2M callerを分離できるので、段階的なリアーキテクチャや複数システムの並走にも向いていると感じました。
改善してほしいポイント
機能が豊富なぶん、初期設計では用語と責務の整理が必要です。たとえば通常のユーザーログイン、APIのaudience、M2M application、refresh token、JWKSなどを混同すると、どのトークンをどこで検証するのか分かりにくくなります。
また、設定項目が多いため、ドキュメントを読みながら正しく構成する必要があります。特に本番運用では、client secretの保管場所、audienceの切り分け、許可するcallerの管理などをチーム内で明文化しておくのが重要だと思います。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
管理画面のログイン、API側でのJWT検証、外部アダプタからAPIへのM2M認証を同じ認証基盤上で整理できました。ログインUIをアプリ側に作り込まず、API側はbearerトークンを検証するだけにできるため、フロントエンドとバックエンドの責務分離がしやすくなりました。
検討者へお勧めするポイント
小規模なログイン導入だけならすぐ使い始められますが、APIや複数のサービスをまたぐ構成では、最初に「誰がログインするのか」「どのAPIのaudienceを使うのか」「M2M callerは何か」「tokenをどこで検証するのか」を図にしておくと導入がスムーズです。認証を自前実装しないメリットは大きいので、将来的に認証要件が増えそうなサービスでは早めに採用する価値があると思います。
連携して利用中のツール
