カテゴリ: Spring 更新日: 2025/06/03
PR
独学でJavaを学んでいる方向け
「実務レベルに到達できるか不安」「1人だと詰まることが多い」場合は、 実践重視で学べる環境を一度確認しておくのも一つの手です。
EBAエデュケーション |学習内容・サポートを見る

Springの@EnableGlobalMethodSecurityを完全ガイド!初心者でもわかるメソッドセキュリティ設定

Springの@EnableGlobalMethodSecurityアノテーション
Springの@EnableGlobalMethodSecurityアノテーション
先生と生徒の会話形式で理解しよう

生徒

「先生、Springでメソッド単位のセキュリティを設定できる方法ってありますか?」

先生

「はい、Springでは@EnableGlobalMethodSecurityというアノテーションを使うことで、メソッド単位でのセキュリティを設定できるんです。」

生徒

「それって、どうやって設定するんですか?」

先生

「では、基本的な使い方を見ていきましょう!」

1. @EnableGlobalMethodSecurityとは?

1. @EnableGlobalMethodSecurityとは?
1. @EnableGlobalMethodSecurityとは?

@EnableGlobalMethodSecurityアノテーションは、Spring Securityのメソッドレベルのセキュリティを有効にするためのアノテーションです。
これを利用することで、@Secured@PreAuthorizeといったアノテーションを使い、特定のメソッドに対するアクセス制御を設定できます。
例えば、管理者ユーザーのみが実行できるメソッドや、特定のロールを持つユーザーのみがアクセスできる機能を実装することが可能です。

2. @EnableGlobalMethodSecurityの基本的な使い方

2. @EnableGlobalMethodSecurityの基本的な使い方
2. @EnableGlobalMethodSecurityの基本的な使い方

@EnableGlobalMethodSecurityを利用するには、Spring Bootの設定クラスに追加するだけで簡単に有効化できます。
例えば、以下のようにSecurityConfigクラスに設定を加えます。 


import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig {
    // その他のセキュリティ設定がここに追加できます
}

この設定により、@Securedアノテーションを使ったメソッドセキュリティが有効になります。
たとえば、特定のロールを持つユーザーのみがメソッドを実行できるように設定できます。

PR

将来を見据えて、+αのスキルを身につけたい方へ

JavaやLinuxを学んでいても、「このままで市場価値は上がるのか」 「キャリアの選択肢を広げたい」と感じる方は少なくありません。

AIを学ぶならアイデミープレミアム

3. @Securedアノテーションの活用例

3. @Securedアノテーションの活用例
3. @Securedアノテーションの活用例

@Securedアノテーションを使うことで、メソッドごとにアクセス権限を設定できます。以下の例では、管理者のみがアクセスできるメソッドを定義しています。 


import org.springframework.security.access.annotation.Secured;
import org.springframework.stereotype.Service;

@Service
public class AdminService {

    @Secured("ROLE_ADMIN")
    public void performAdminTask() {
        System.out.println("管理者専用のタスクを実行中...");
    }
}

上記のperformAdminTaskメソッドは、ROLE_ADMIN権限を持つユーザーのみがアクセス可能です。
一般ユーザーがアクセスしようとすると、アクセスが拒否されます。

4. @PreAuthorizeアノテーションの利用

4. @PreAuthorizeアノテーションの利用
4. @PreAuthorizeアノテーションの利用

@EnableGlobalMethodSecurityには他にも便利な機能があり、@PreAuthorizeアノテーションを使用することで、より柔軟な条件でアクセス制御が可能です。
例えば、以下のようにユーザー名に基づいたアクセス制御を行うことができます。 


import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class UserService {

    @PreAuthorize("hasRole('ADMIN') or #username == authentication.name")
    public void viewProfile(String username) {
        System.out.println(username + "のプロフィールを表示中...");
    }
}

ここでは、ADMINロールを持つユーザー、またはログインユーザーが自身のプロフィールにアクセスできるよう設定しています。
このように、@PreAuthorizeを使うと複雑なアクセス条件を簡単に指定できます。

5. Spring Bootアプリケーションでの利用シナリオ

5. Spring Bootアプリケーションでの利用シナリオ
5. Spring Bootアプリケーションでの利用シナリオ

例えば、社内システムやWebアプリケーションでは、管理者権限のあるユーザーのみが設定を変更できる、一般ユーザーは閲覧のみ可能にするなどの制御が必要です。
これをSpring Securityの@EnableGlobalMethodSecurityと各種アノテーションを使って実現できます。 


import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class ContentService {

    @PreAuthorize("hasRole('EDITOR')")
    public void editContent() {
        System.out.println("コンテンツを編集しています...");
    }

    @PreAuthorize("hasRole('USER')")
    public void viewContent() {
        System.out.println("コンテンツを表示中...");
    }
}

上記の例では、editContentメソッドは編集者のみが実行でき、viewContentメソッドは一般ユーザーが実行できます。
これにより、システム全体のセキュリティを強化することが可能です。

6. @EnableGlobalMethodSecurityの追加オプション

6. @EnableGlobalMethodSecurityの追加オプション
6. @EnableGlobalMethodSecurityの追加オプション

@EnableGlobalMethodSecurityには、securedEnabled以外にもいくつかのオプションがあります。

  • prePostEnabled - @PreAuthorize@PostAuthorizeの利用を有効にします。
  • jsr250Enabled - @RolesAllowedアノテーションの利用を有効にします。

これらを活用することで、セキュリティ設定をさらに柔軟に行うことが可能です。

7. まとめ

7. まとめ
7. まとめ

ここまで、Springの@EnableGlobalMethodSecurityアノテーションを使ったメソッド単位のセキュリティ設定について詳しく解説してきました。
このアノテーションを利用することで、メソッドごとにセキュリティルールを細かく設定でき、アプリケーションの安全性を向上させることができます。
例えば、管理者ユーザーのみが実行できる処理や、特定のロールを持つユーザーにのみ許可される機能など、セキュリティポリシーを柔軟にカスタマイズすることが可能です。

また、@Secured@PreAuthorize@PostAuthorizeといったアノテーションを組み合わせることで、より複雑なアクセス制御も実現できます。これにより、例えば管理者権限が必要な機能、編集者のみがアクセス可能な機能、一般ユーザーが利用できる機能など、アプリケーションの用途に応じたセキュリティ管理が可能です。

さらに、Spring Securityの@EnableGlobalMethodSecurityの各種オプション(securedEnabledprePostEnabledjsr250Enabled)を利用することで、セキュリティ設定の柔軟性が増し、アプリケーションのセキュリティ要件に合わせたきめ細かな制御が可能になります。

活用のポイント

  • システムの要件に合わせて、@Secured@PreAuthorizeを使い分ける。
  • セキュリティ設定を一元管理することで、変更に強い設計にする。
  • 開発段階で積極的にメソッドセキュリティを導入し、脆弱性を未然に防ぐ。

これらの設定を活用すれば、より堅牢でセキュアなSpring Bootアプリケーションの構築が可能です。
ぜひ、実際の開発で活用してみてください。

先生と生徒の振り返り会話

生徒

「Springの@EnableGlobalMethodSecurityを使うと、どういったメリットがあるんですか?」

先生

「メソッド単位で細かくアクセス制御ができるので、セキュリティの柔軟性が大幅に向上します。また、コード内でセキュリティポリシーを簡単に設定できるのもポイントです。」

生徒

@PreAuthorizeとか@Securedって、具体的にどう使い分けるんですか?」

先生

@Securedは単純なロールベースのチェックに便利で、@PreAuthorizeはより複雑な条件(ユーザー名のチェックや式の評価など)に対応できます。開発する機能に合わせて使い分けると良いですね。」

生徒

「確かに、それなら管理画面と一般ユーザー画面で役割を分けてアクセス制御できますね。」

先生

「そうです。その通りです。Spring Securityをうまく活用して、安全で効率的なシステムを作りましょう!」

この記事を読んだ人からの質問

この記事を読んだ人からの質問
この記事を読んだ人からの質問

プログラミング初心者からのよくある疑問/質問を解決します

@EnableGlobalMethodSecurityとは何ですか?

@EnableGlobalMethodSecurityは、Spring Securityでメソッド単位のセキュリティ設定を有効化するためのアノテーションです。このアノテーションを使うことで、@Securedや@PreAuthorizeなどのセキュリティアノテーションを有効にできます。

@EnableGlobalMethodSecurityを使うメリットは何ですか?

@EnableGlobalMethodSecurityを使うと、メソッド単位でアクセス制御を設定でき、システムのセキュリティを細かく管理できます。また、ユーザー権限に基づいた柔軟なセキュリティ設定が可能です。

@Securedアノテーションと@PreAuthorizeアノテーションの違いは何ですか?

@Securedは特定のロールに基づいたシンプルなアクセス制御を提供します。一方、@PreAuthorizeは式を使用してより複雑な条件を指定することができます。

@Securedを使った基本的な例を教えてください。

@Secured("ROLE_ADMIN")と記述することで、ROLE_ADMIN権限を持つユーザーのみがそのメソッドを実行できます。たとえば、管理者専用の機能に適用できます。

@PreAuthorizeアノテーションでどのような条件を指定できますか?

@PreAuthorizeを使うと、ロールのチェック(hasRole)やログインユーザーの名前チェック(authentication.name)など、複雑な条件を設定できます。

@EnableGlobalMethodSecurityのオプション設定にはどのようなものがありますか?

@EnableGlobalMethodSecurityには、securedEnabled(@Securedを有効化)、prePostEnabled(@PreAuthorizeや@PostAuthorizeを有効化)、jsr250Enabled(@RolesAllowedを有効化)などのオプションがあります。

@EnableGlobalMethodSecurityのprePostEnabledを有効にする方法を教えてください。

Spring Securityの設定クラスに@EnableGlobalMethodSecurity(prePostEnabled = true)を追加するだけで有効にできます。

@EnableGlobalMethodSecurityを使う際の注意点はありますか?

@EnableGlobalMethodSecurityを使う場合、セキュリティ設定がアプリケーション全体に影響するため、設定内容を適切に管理することが重要です。

@Securedと@RolesAllowedはどう使い分ければいいですか?

@SecuredはSpring Security独自のアノテーションで、@RolesAllowedはJSR-250標準のアノテーションです。プロジェクトの要件や利用する技術スタックに応じて選ぶと良いでしょう。

初心者がSpring Securityを学ぶ際の最初のステップは何ですか?

まずは、基本的なセキュリティ設定(@EnableGlobalMethodSecurityや@Secured)を理解し、シンプルなアクセス制御を試してみることから始めると良いでしょう。
関連記事:
Spring Data JPAのJpaRepository | Spring Data JPAのJpaRepositoryインターフェースの使い方を完全ガイド!初心者でも安心
Springの@NotEmptyアノテーション | JavaのSpringで使う@NotEmptyアノテーションを完全解説!初心者でも理解できる入力チェックの基本
Spring Bootのヘッダー操作:Location/Retry-After/CORS系の付け方 | Spring Bootのヘッダー操作を徹底解説!Location・Retry-After・CORSの設定方法まとめ
Spring BootのJakarta移行ポイント:javax→jakarta 変更の影響を理解 | Spring BootのJakarta移行ガイド!初心者向けjavax→jakarta変更ポイント徹底解説
ファイルアップロードの検証:サイズ/拡張子/MIMEタイプチェック | Springでファイルアップロードを安全に!サイズ・拡張子・MIMEタイプのバリデーション方法を解説
Spring BootのLombok導入とエラー対策:annotation processingの設定 | Spring BootでLombokを使いこなす!導入方法とannotation processingのエラー対策まとめ
SpringのGETとPOST | 【超入門】Spring BootのGETとPOSTをやさしく解説!使い分けと実装がこれだけで分かる
ModelAndViewのaddObject | SpringのModelAndViewクラスとaddObjectメソッドの使い方を完全ガイド!初心者でも安心
カテゴリの一覧へ
新着記事
PR

JavaやLinuxの検証環境に
低コストで使えるVPS

Spring Data JPAのJpaRepository
Spring Data JPAのJpaRepositoryインターフェースの使い方を完全ガイド!初心者でも安心
JSPの実行の流れをフローで理解!サーブレットとの関係性と処理順序を理解しよう
JSPの実行の流れをフローで理解!サーブレットとの関係性と処理順序を理解しよう
LocalDateTimeのisAfterメソッド
JavaのLocalDateTimeクラスとisAfterメソッドを完全ガイド!初心者でもわかる日時比較
JSPの基本タグ一覧と使い方まとめ!実務で使えるタグを紹介
JSPの基本タグ一覧と使い方まとめ!実務で使えるタグを紹介
PR 未経験からITエンジニアを目指す方へ

Javaを学んでいるけど、「このまま未経験で就職できるか不安」という20代向け。 学歴不問・無料サポートの就職支援という選択肢があります。

Tamesy |無料で面談予約
人気記事
No.1
Java&Spring記事人気No1
Integerクラス
 239
JavaのIntegerクラスの使い方を完全ガイド!初心者でもわかる整数操作
No.2
Java&Spring記事人気No2
【ラムダ式】配列を扱う:Arrays.streamの基本と注意点
 195
Javaのラムダ式で配列を扱う!Arrays.streamの基本と注意点を初心者向けに解説
No.3
Java&Spring記事人気No3
Spring Boot × Javaバージョン対応表:3.5/3.4/3.3 と Java 21/17の互換性
 188
Spring BootとJavaの互換性一覧!3.5/3.4/3.3はJava 21・17に対応してる?
No.4
Java&Spring記事人気No4
RuntimeExceptionクラス
 151
JavaのRuntimeExceptionを完全解説!初心者でもわかるjava.langパッケージの基礎
No.5
Java&Spring記事人気No5
Spring BootのJakarta移行ポイント:javax→jakarta 変更の影響を理解
 128
Spring BootのJakarta移行ガイド!初心者向けjavax→jakarta変更ポイント徹底解説
No.6
Java&Spring記事人気No6
Springの@Serviceアノテーション
 114
Springの@Serviceアノテーションの使い方を徹底解説!初心者でもわかるSpring フレームワーク入門
No.7
Java&Spring記事人気No7
HttpSession
 106
JavaのHttpSessionを徹底解説!初心者でもわかるセッション管理の基本
No.8
Java&Spring記事人気No8
Spring で Thymeleaf(タイムリーフ)の使い方入門
 104
Thymeleaf(タイムリーフ)入門!初心者でもわかるSpring Bootとテンプレートエンジンの使い方
PR

ローカルPCに依存しない開発環境という選択肢

Java・Linuxの検証や学習環境を、クラウド上ですぐに用意できます。

Java入門

Javaの基礎を体系的に学びたい場合は、文法だけでなく 「なぜそう書くのか」まで丁寧に解説されているため、 初心者でも理解しやすい定番の1冊です。

スッキリわかるJava入門 第4版

※ 紙の書籍・電子書籍どちらでも購入できます

Java実践

ジェネリクス、enum、シールクラスなどの型設計から、 関数型プログラミング(ラムダ式・Stream API)、 JVM制御やリフレクション、外部ライブラリの活用までを扱っており、 「Javaを使えるレベル」へ進むための内容が網羅されています。

スッキリわかるJava入門 実践編 第4版

※ 紙の書籍・電子書籍どちらでも購入できます

Spring入門

Spring Frameworkの全体像から、 Webアプリ開発で必要となる主要機能までを 体系的に解説している定番の入門書です。

Spring徹底入門 第2版 Spring FrameworkによるJavaアプリケーション開発

※ 紙の書籍・電子書籍どちらでも購入できます

PR 実務経験のあるエンジニア向け

Javaなどの実務経験があり、次のキャリアを検討している方向け。 IT・ゲーム業界に特化した転職支援サービスという選択肢もあります。

転職ボックス |IT・ゲーム業界専門