Spring Securityの@PreAuthorizeと@PostAuthorizeでメソッド認可を実装する方法を初心者向けに解説

1. メソッドレベルの認可とは？

1. メソッドレベルの認可とは？

Spring Securityでは、リクエスト単位のURL認可だけでなく、特定のメソッドに対して個別にアクセス制御を設定することができます。これを「メソッドレベルの認可」と呼びます。

代表的なアノテーションは以下の2つです。

• @PreAuthorize：メソッド実行前に認可判定を行う
• @PostAuthorize：メソッド実行後に結果に応じて認可判定を行う

このような細かな制御を実現することで、より安全で柔軟なセキュリティ設計が可能になります。

2. グローバルメソッドセキュリティの有効化

2. グローバルメソッドセキュリティの有効化

@PreAuthorizeや@PostAuthorizeを使うためには、Spring Securityの設定クラスで明示的に「グローバルメソッドセキュリティ」を有効にする必要があります。

@EnableGlobalMethodSecurity(prePostEnabled = true)
@Configuration
public class SecurityConfig {
    // セキュリティ設定
}

この設定を入れることで、@PreAuthorizeなどのアノテーションが有効に機能するようになります。

3. @PreAuthorizeの基本的な使い方

3. @PreAuthorizeの基本的な使い方

@PreAuthorizeはメソッドの実行前に権限やロールをチェックします。たとえば、「管理者のみアクセス可能」にするには以下のように記述します。

@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long id) {
    // ユーザー削除処理
}

hasRoleの他にも、hasAuthorityやauthenticationオブジェクトを使った判定も可能です。

4. @PostAuthorizeの使い方と用途

4. @PostAuthorizeの使い方と用途

@PostAuthorizeは、メソッドの実行後に戻り値を見てアクセスを許可するかを判断します。

たとえば、自分が作成したデータだけを表示できるようにする場合などに便利です。

@PostAuthorize("returnObject.owner == authentication.name")
public Document getDocument(Long id) {
    return documentRepository.findById(id);
}

returnObjectはメソッドの戻り値を意味し、そこに含まれるプロパティとログインユーザー名を比較することができます。

5. 認可条件に使える式の種類

5. 認可条件に使える式の種類

Spring Securityでは、SpEL（Spring Expression Language）を使って柔軟な認可条件を記述できます。以下はよく使われる式です。

• hasRole('USER')：指定ロールを持つユーザー
• hasAuthority('READ_PRIVILEGE')：指定権限を持つユーザー
• authentication.name == #username：引数との一致確認
• #id == principal.id：ログインユーザー自身かどうか

このような式を使って、メソッド単位に細かいアクセス制御を設けることができます。

6. コントローラーだけでなくサービス層にも使える

6. コントローラーだけでなくサービス層にも使える

これらのアノテーションは、Spring MVCのコントローラーだけでなく、サービス層やリポジトリ層など任意のSpring管理クラスにも適用できます。

これにより、アプリケーションの中核ロジックにもセキュリティを直接組み込むことができ、セキュリティホールを防ぎやすくなります。

7. よくあるエラーと対処法

7. よくあるエラーと対処法

@PreAuthorizeや@PostAuthorizeを使っていて、アクセス制御が効かないときは次のような原因が考えられます。

• @EnableGlobalMethodSecurityの記述がない
• Springの@Componentスキャン対象外のクラスに付けている
• 戻り値がnullの場合に@PostAuthorizeが機能しない

設定漏れやBean定義の確認など、エラーログを手がかりに丁寧にチェックしましょう。

8. 認可失敗時の動作をカスタマイズしたい場合

8. 認可失敗時の動作をカスタマイズしたい場合

メソッドレベルでの認可に失敗すると、Spring SecurityはAccessDeniedExceptionをスローします。

この例外をカスタムハンドラーで処理することで、認可失敗時の挙動（エラーページ表示など）を自由に設定できます。

@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException accessDeniedException)
                       throws IOException, ServletException {
        response.sendRedirect("/access-denied");
    }
}

9. フロント画面にメソッド認可の結果を表示するには？

9. フロント画面にメソッド認可の結果を表示するには？

メソッド認可によって制限された場合、ユーザーに理由を表示することでUXを向上できます。たとえば、HTMLでエラーメッセージを表示する方法は次のようになります。

<div th:if="${param.accessDenied}">
    <p class="text-danger">この操作を実行する権限がありません。</p>
</div>

Spring SecurityのAccessDeniedHandlerを活用して、リダイレクト先に?accessDenied=trueのようなパラメータを付ければ、このような表示が可能になります。