Spring Securityの@PreAuthorizeと@PostAuthorizeでメソッド認可を実装する方法を初心者向けに解説
生徒
「Spring Securityでメソッド単位にアクセス制御をかけるにはどうすればいいですか?」
先生
「Spring Securityでは、@PreAuthorizeや@PostAuthorizeというアノテーションを使って、メソッドごとに認可ルールを定義できますよ。」
生徒
「コントローラーだけでなく、サービスクラスにも書けるんですか?」
先生
「そのとおりです。Spring Securityのグローバルメソッドセキュリティを有効にすれば、任意のクラスの任意のメソッドに適用できますよ。実際の使い方を見ていきましょう!」
1. メソッドレベルの認可とは?
Spring Securityでは、リクエスト単位のURL認可だけでなく、特定のメソッドに対して個別にアクセス制御を設定することができます。これを「メソッドレベルの認可」と呼びます。
代表的なアノテーションは以下の2つです。
- @PreAuthorize:メソッド実行前に認可判定を行う
- @PostAuthorize:メソッド実行後に結果に応じて認可判定を行う
このような細かな制御を実現することで、より安全で柔軟なセキュリティ設計が可能になります。
2. グローバルメソッドセキュリティの有効化
@PreAuthorizeや@PostAuthorizeを使うためには、Spring Securityの設定クラスで明示的に「グローバルメソッドセキュリティ」を有効にする必要があります。
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Configuration
public class SecurityConfig {
// セキュリティ設定
}
この設定を入れることで、@PreAuthorizeなどのアノテーションが有効に機能するようになります。
将来を見据えて、+αのスキルを身につけたい方へ
JavaやLinuxを学んでいても、「このままで市場価値は上がるのか」 「キャリアの選択肢を広げたい」と感じる方は少なくありません。
AIを学ぶならアイデミープレミアム
3. @PreAuthorizeの基本的な使い方
@PreAuthorizeはメソッドの実行前に権限やロールをチェックします。たとえば、「管理者のみアクセス可能」にするには以下のように記述します。
@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long id) {
// ユーザー削除処理
}
hasRoleの他にも、hasAuthorityやauthenticationオブジェクトを使った判定も可能です。
4. @PostAuthorizeの使い方と用途
@PostAuthorizeは、メソッドの実行後に戻り値を見てアクセスを許可するかを判断します。
たとえば、自分が作成したデータだけを表示できるようにする場合などに便利です。
@PostAuthorize("returnObject.owner == authentication.name")
public Document getDocument(Long id) {
return documentRepository.findById(id);
}
returnObjectはメソッドの戻り値を意味し、そこに含まれるプロパティとログインユーザー名を比較することができます。
5. 認可条件に使える式の種類
Spring Securityでは、SpEL(Spring Expression Language)を使って柔軟な認可条件を記述できます。以下はよく使われる式です。
hasRole('USER'):指定ロールを持つユーザーhasAuthority('READ_PRIVILEGE'):指定権限を持つユーザーauthentication.name == #username:引数との一致確認#id == principal.id:ログインユーザー自身かどうか
このような式を使って、メソッド単位に細かいアクセス制御を設けることができます。
6. コントローラーだけでなくサービス層にも使える
これらのアノテーションは、Spring MVCのコントローラーだけでなく、サービス層やリポジトリ層など任意のSpring管理クラスにも適用できます。
これにより、アプリケーションの中核ロジックにもセキュリティを直接組み込むことができ、セキュリティホールを防ぎやすくなります。
7. よくあるエラーと対処法
@PreAuthorizeや@PostAuthorizeを使っていて、アクセス制御が効かないときは次のような原因が考えられます。
@EnableGlobalMethodSecurityの記述がない- Springの
@Componentスキャン対象外のクラスに付けている - 戻り値が
nullの場合に@PostAuthorizeが機能しない
設定漏れやBean定義の確認など、エラーログを手がかりに丁寧にチェックしましょう。
8. 認可失敗時の動作をカスタマイズしたい場合
メソッドレベルでの認可に失敗すると、Spring SecurityはAccessDeniedExceptionをスローします。
この例外をカスタムハンドラーで処理することで、認可失敗時の挙動(エラーページ表示など)を自由に設定できます。
@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request,
HttpServletResponse response,
AccessDeniedException accessDeniedException)
throws IOException, ServletException {
response.sendRedirect("/access-denied");
}
}
9. フロント画面にメソッド認可の結果を表示するには?
メソッド認可によって制限された場合、ユーザーに理由を表示することでUXを向上できます。たとえば、HTMLでエラーメッセージを表示する方法は次のようになります。
<div th:if="${param.accessDenied}">
<p class="text-danger">この操作を実行する権限がありません。</p>
</div>
Spring SecurityのAccessDeniedHandlerを活用して、リダイレクト先に?accessDenied=trueのようなパラメータを付ければ、このような表示が可能になります。
Spring FrameworkやThymeleafを使った Webアプリ開発の全体像をやさしく理解したい人には、 この入門書が定番です。
Spring Framework超入門をAmazonで見る※ Amazonアソシエイト・プログラムを利用しています
