Spring SecurityでURLごとのアクセス制御を実現する方法!requestMatcherと権限マッピングの設計
生徒
「Spring SecurityでURLごとにアクセス制御を設定したいんですが、どんな方法がありますか?」
先生
「Spring SecurityではrequestMatcherを使うと、URLパターンに応じた柔軟なアクセス制御ができますよ。また、ロール(権限)とのマッピングも重要です。」
生徒
「ロールのマッピングってどうやって設計するんですか?URLの設計との関係も気になります。」
先生
「それでは、URLごとのアクセス制御と、権限マッピング設計の基本から応用まで見ていきましょう!」
1. Spring SecurityでのURLアクセス制御とは
Spring Securityでは、ユーザーがアクセスできるページやエンドポイントを制限するために「URLごとのアクセス制御」を行います。特定のURLには特定の権限を持つユーザーしかアクセスできないように設定することで、不正アクセスを防ぎます。
URLのアクセス制御は、セキュリティ構成クラス内でauthorizeRequests()メソッドを使って実装されます。
2. requestMatcherの役割と使い方
requestMatcherは、HTTPリクエストに対して柔軟に条件を設定できるマッチャーです。たとえば、AntPathRequestMatcherやRegexRequestMatcherなどを使うことで、URLパターンやHTTPメソッドごとに細かくアクセス制御ができます。
http
.authorizeRequests()
.requestMatchers(new AntPathRequestMatcher("/admin/**"))
.hasRole("ADMIN")
.anyRequest()
.authenticated();
このように、/admin/以下のURLにはADMIN権限を持つユーザーしかアクセスできないように制御できます。
3. 権限(ロール)マッピングの設計パターン
アクセス制御を行うには、ユーザーの権限(ロール)とURLをどのようにマッピングするかを設計する必要があります。以下に一般的な設計例を示します。
/admin/**→ROLE_ADMIN/user/**→ROLE_USERまたはROLE_ADMIN/public/**→ 全ユーザー(認証不要)
このようにマッピングすることで、意図しないアクセスを防止しつつ、権限ごとに適切な操作だけを許可できます。
4. antMatchersとmvcMatchersの違い
requestMatcherの代わりに、antMatchersやmvcMatchersを使うケースもあります。それぞれの違いを理解しておくことも重要です。
- antMatchers:ワイルドカードでURLパターンを指定(例:
"/admin/**") - mvcMatchers:Spring MVCのURLマッピングに準拠し、プレフィックスなども考慮
http
.authorizeRequests()
.antMatchers("/admin/**")
.hasRole("ADMIN")
.antMatchers("/user/**")
.hasAnyRole("USER", "ADMIN")
.antMatchers("/public/**")
.permitAll();
5. 権限階層の設計と使い分け
実務では、「管理者はユーザーの機能も使えるが、その逆は不可」といった要件があります。このような場合には、権限の階層構造を意識してマッピングを行います。
例えば、以下のようにhasAnyRoleを使えば、複数のロールに対して許可が可能です。
http
.authorizeRequests()
.antMatchers("/dashboard")
.hasAnyRole("USER", "ADMIN");
6. リクエストメソッドによる制御
Spring Securityでは、URLだけでなく、HTTPメソッド(GET、POSTなど)に応じた制御も可能です。たとえば、RegexRequestMatcherを使うと、POSTメソッドのみにアクセスを制限できます。
http
.authorizeRequests()
.requestMatchers(new RegexRequestMatcher("/api/data", "POST"))
.hasRole("ADMIN");
7. 実務での設計ポイントと注意点
実際にURLごとのアクセス制御を設計する際は、以下のようなポイントに注意しましょう。
- URLの命名規則を明確にして、権限設計と合わせる
- 権限の粒度を粗すぎず細かすぎず設計する
- 不正アクセス対策として、デフォルトは
authenticated()にして、明示的にpermitAll()を使う
また、URLの設計ミスにより意図しないアクセスが許可されてしまうケースもあるため、定期的なレビューが重要です。
8. 認可エラー時のハンドリング設定
権限がないユーザーが制限されたURLにアクセスした際の挙動もカスタマイズできます。たとえば、403エラーページを指定する方法です。
http
.exceptionHandling()
.accessDeniedPage("/error/403");
9. セキュリティ設定の全体構成例
最後に、URLごとのアクセス制御、リクエストマッチャー、ロールマッピングなどを組み合わせた全体構成例を紹介します。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/public/**").permitAll()
.antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll()
.and()
.exceptionHandling()
.accessDeniedPage("/error/403");
}
}
このように構成することで、URLごとに適切なセキュリティルールを適用し、権限のあるユーザーだけがアクセスできるようになります。
職業訓練講師が最短攻略!Spring Bootによる「商用バックエンド構築」とDI/AOPの極意。
累計120万PV超の技術メディア運営チームが贈る、商用開発基準の特別カリキュラム
職業訓練講師が最短攻略!Spring Bootによる「商用バックエンド構築」とDI/AOPの極意。
モダンJava開発の事実上の標準Spring Boot。本講座では、その圧倒的利便性の核にある「DI(依存性の注入)」を完全解剖。「設定より規約」を体現した効率的なアーキテクチャ設計を学び、Spring SecurityやJPAなど、現場で必須となるエコシステムの繋ぎ方を60分で濃縮体験します。
60分集中ワークショップ内容
【つくるもの】
商用利用を想定した「REST APIベースのタスク管理システム」を構築。Spring Data JPAによる高速DB連携から、ビジネスロジックの分離、堅牢なバリデーション実装まで、Webアプリの「正解の型」を最短距離で作り上げます。
【開発環境】
Spring Initializrでのプロジェクト生成から、Docker環境との連携まで。LombokやSpring Boot DevToolsを駆使した、実務10年PLが実践する「開発効率を極限まで高める」プロのセットアップを伝授します。
この60分で得られる3つの革新スキル
なぜSpringが選ばれるのか?Bean管理の仕組みを理解し、保守・テストが容易な「プロの設計」を習得します。
リポジトリ層を抽象化。SQLを最小限に抑えつつ、パフォーマンスを最大化させるクエリ設計の勘所を学びます。
冗長なコードを排除。Springが提供するアノテーションを使いこなし、ビジネスロジックに集中する技法を伝授します。
※本講座は、Javaの基本を終え、即戦力エンジニアを目指す方のための「ハイクラス・フレームワーク実践講座」です。商用レベルの技術習得を、職業訓練講師の実績を持つプロが全力でリードします。
20名規模のプロジェクトリーダー(PL)が、トラブルを防ぐ実装ノウハウを直接伝授します。
