Scalaが支える4RAPの認証認可基盤

Transcript

1. Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved. Scalaが支える4RAPの認証認可基盤

   2026/02/27

2. 4 自己紹介 石川 龍斗 (Ishikawa Ryuto) @stoneream 2023年、FOLIOへ入社 バックエンドエンジニアとして4RAPの開発・運用 •

   認証・認可 • 契約および書面の管理 Scala歴は5年くらい

3. 5 4RAPのシステム概観 認証認可基盤の位置づけ

4. 6 4RAPの認証認可基盤は2つ 1. 金融機関の職員・システム間の通信向け • 銀行・証券会社の金融機関側の作業担当者向け管理画面 • バッチやデーモンのシステム間の通信 2. 実際に投資を行うエンドユーザー向け

   • お客様向けの画面（マイページ） • 発行された書面の確認

5. 7 後者は割愛 1. 金融機関の職員・システム間の通信向け • 銀行・証券会社の金融機関側の作業担当者向け管理画面 • バッチやデーモンのシステム間の通信 2. 実際に投資を行うエンドユーザー向け

   • お客様向けの画面（マイページ） • 発行された書面の確認

6. 8 金融機関のエンドユーザー システム間の通信に向けた 認証認可基盤

7. 9 システム概観 契約管理 営業窓口 管理 口座・売買 管理 ユーザー権限 管理 Web

   API 役割別のマイクロサービス その他

8. 10 アクセストークンの発行 認可サーバー 作業担当者が 管理画面の操作 バッチ、デーモンなど システム間の通信 Authlete ユーザーごとの権限 権限グループ

   権限 などを管理 認可コードフロー クライアント クレデンシャルフロー

9. 11 APIの呼び出しまで 作業担当者が 管理画面の操作 バッチ、デーモンなど システム間の通信 API Gateway Lambda APIの呼び出し

   Authlete Web API 各種ヘッダーの付与

10. 12 システム概観 契約管理 営業窓口 管理 口座・売買 管理 ユーザー権限 管理 Web

    API 疎結合なシステム構成により柔軟な機能追加が実現 その他

11. 15 OAuthクライアントの 管理・運用について

12. 16 細かなOAuthクライアントの管理 システム間連携に使用するOAuthクライアント クライアントに与えるスコープは最小限に保つ 多数にわたるクライアントとスコープ… 日に実行されるバッチは450個を超える サービス & チームを横断した管理 人手での整合性の維持が困難

13. 17 内製ツールの開発 機能 • OAuthクライアントおよびスコープの定義を一元管理 • CIによる差分のチェックと反映 変更内容のレビューによって 定義の逸脱および不整合の早期発見 変更の安全性と透明性の実現

14. 18 セキュアなシークレット管理 前提として… • AWS Systems Manager Parameter Storeへシークレットを格納 •

    システムはParameter Storeからシークレットを取得する 開発者が直接シークレットを確認できない仕組みの開発 • Parameter Storeの値とOAuthクライアントのマッピング定義 • 変更内容のレビューを経て、環境への反映 スケールに耐えうる管理・運用基盤を実現 • シークレットの露出リスクの低減 • ヒューマンエラーの低減 • 変更の透明性と追跡性の向上

15. 19 開発の大まかな流れ

16. 20 要件定義 要件定義 設計 チケット起票 実装・テスト QA リリース ビジネス要件とシステム要件の整理 •

    どんな機能が必要か • 外部システムとの連携とデータの流れ • 影響範囲 • 性能・可用性・セキュリティ・運用 関係者との合意 • 前提条件 • インターフェース仕様 • スケジュール・マイルストーン

17. 21 設計 要件定義 設計 チケット起票 実装・テスト QA リリース イベントストーミングの実施 仕様のヌケモレ、認識の齟齬を減らす

    • 何が起きるか？ • ユーザーやシステムが何をするのか？ アーキテクチャや技術的な方針の策定 ADR (Architecture Decision Record)の作成 • 背景と選択肢 • 採用した/しなかった選択肢とその理由 • その後の懸念 インタフェースの仕様決定 • OpenAPI Specification • 既存金融機関システムのデータ形式

18. 22 チケット起票 要件定義 設計 チケット起票 実装・テスト QA リリース 機能単位での達成するべきタスクの定義 •

    API・バッチ・ジョブ • 画面 • PoC チケットのテンプレート • 背景・目的 • 作業内容の概要と完了条件 • 参考リンク プランニング • 見積もり・優先度 • 担当者のアサイン

19. 23 実装・テスト 要件定義 設計 チケット起票 実装・テスト QA リリース 実装 •

    コーディング規約の策定 • アーキテクチャの統一 • 将来の拡張性 テスト • 単体・結合テスト • フォーマット・Lintのチェック レビュー • 設計意図 • セキュリティ・パフォーマンス上の懸念 • 可読性と保守性

20. 24 QA 要件定義 設計 チケット起票 実装・テスト QA リリース システム全体の確認 •

    シナリオテスト • 既存機能への影響 他チームとの連携 • 外部システムとの結合テスト • 性能・負荷・セキュリティ観点 リリース可否の判断材料を固める

21. 25 リリース 要件定義 設計 チケット起票 実装・テスト QA リリース リリース計画 •

    作業手順 • ロールバック手順 • 関係者への共有 リリース方式 • フィーチャーフラグの切り替え • 段階的リリース • 一括の切り替え エラー増加やレスポンスの傾向など ログ・メトリクスを定常的に注視

22. 26 4RAP 認証基盤 Real World Scala

23. 27 主な技術スタック • Scala 2 および Scala 3 • Play

    Framework 3 • ScalikeJDBC • sttp3 • Circe など Scala 2のプロジェクトについてはScala 3へ移行中

24. 28 アーキテクチャ マルチプロジェクト化により、各層で責務を明確にしている アプリケーション サーバー バッチ デーモン ロギング 共通で使用 ドメイン層に相当

25. 29 アーキテクチャ サーバー UseCase Controller アプリケーション マルチプロジェクト化により、各層で責務を明確にしている

26. 30 UseCaseの構成要素 UseCase UseCase Input UseCase Output UseCase UseCase Exception

    Step 処理が多い場合はクラスを分割

27. 31 実例

28. 32 OpenAPI Generatorの使用 コントローラーとトレイトを自動生成 (ツールの制約で命名に難があります)

29. 33 コントローラーの実装 トレイトに沿って実装を進めていく

30. 34 コントローラーが簡素？

31. 35 Handler? handle? ControllerImplBaseをミックスイン

32. 36 ControllerImpleBase#handleの実装について 引数にハンドラーを取る

33. 37 ControllerImpleBase#handleの実装について コントローラー共通処理 • 例外ハンドリング • レスポンスの生成

34. 38 handlerには各APIのハンドラを渡す

35. 39 HandlerBase型？ HandlerBase#run？ HandlerBase#mapper?

36. 40 HandlerBaseトレイトの構造 型引数として… • Request • UseCase • UseCaseInput •

    UseCaseOutput • UseCaseException • Response を要求する

37. 41 UseCase、handle、mapperの実装を要求

38. 42 HandlerBase#run HTTP / ユースケースの境界の 型の橋渡しを担う

39. 43 ハンドラーの実装例

40. 44 ドメイン固有の型に変換し、 UseCase Inputとして渡せる形へ アクセストークンの検証、 認可および 値のバリデーションをしつつ…

41. 45 UseCaseOutputおよび UseCaseExceptionのから レスポンスの生成

42. 46 UseCaseの構成要素 UseCase UseCase Input UseCase Output UseCase Usecase Exception

    Step 処理が多い場合はクラスを分割

43. 47 UseCaseトレイト

44. 48 UseCaseInputの定義 型を活用し、入出力の分離を厳密に実装 各層の責務の混在を防ぐ Value Objectを基本とする

45. 49 UseCaseOutputの定義 型を活用し、入出力の分離を厳密に実装 各層の責務の混在を防ぐ

46. 50 UseCaseExceptionの定義 処理中に発生し得るエラーを 例外として定義する

47. 51 UseCaseExceptionのパターンマッチング

48. 52 実装されたUseCaseの概観 • UseCaseInput • UseCaseOutput • UseCaseException

49. 53 各処理をステップに分けて流れを表現

50. 54 型の強みとトレイトの合成を活かして ガードレールを作る！ まとめ

51. 55 もっとお話したことはあるけれど… ロギング • トレースID • 構造化ロギング • 機微情報の露出防止のプラクティス スレッドプールの分離について

    • PlayFrameworkにおける fork-join / thread-pool-executor の使い分け その他 • 「暗号化されている状態」を表現する型 • Controller / Handler / UseCase 雛形の自動生成

52. 58 おわりに

53. 59 カジュアル面談を受けてみませんか？ お申し込みはコチラから https://herp.careers/v1/folio/EG3zLvnvsXNZ エンジニア募集中！ 入社後もScala、認証認可、証券ドメイン… オンボーディングが充実！

54. ご清聴ありがとうございました