カテゴリ: Spring 更新日: 2025/12/20

Spring Securityのロール・権限・スコープの違いとは?初心者向けに権限設計の基本を解説!

権限設計ベストプラクティス:ロール/権限/スコープの違い
権限設計ベストプラクティス:ロール/権限/スコープの違い
先生と生徒の会話形式で理解しよう

生徒

「Spring Securityでユーザー権限を設定したいんですけど、『ロール』とか『スコープ』とかいろいろあって混乱してます…」

先生

「たしかに最初は混乱しやすいですよね。でも、それぞれの意味と使い方を整理すれば、きちんと理解できますよ。」

生徒

「ロールと権限の違いってなんですか?あとスコープってOAuthだけの話ですか?」

先生

「じゃあ今回は、Spring Securityにおけるロール・権限・スコープの違いや、ベストな設計方法をわかりやすく解説していきましょう。」

1. Spring Securityで使われる3つの用語とは?

「1. Spring Securityで使われる3つの用語とは?」の重要ポイントを、初心者の方にも分かりやすく簡潔に解説します。

1. Spring Securityで使われる3つの用語とは?
1. Spring Securityで使われる3つの用語とは?

Spring Securityでは、ユーザーのアクセス制御を行うために「ロール」「権限」「スコープ」という用語がよく使われます。これらの違いをきちんと理解することで、セキュリティの設計がスムーズになります。

  • ロール(Role):ユーザーの役割。管理者や一般ユーザーなど。
  • 権限(Authority):操作の許可。特定の機能へのアクセスなど。
  • スコープ(Scope):OAuth2などで使用。アクセス可能なリソースの範囲。

2. ロール(ROLE_)とは何か?

2. ロール(ROLE_)とは何か?
2. ロール(ROLE_)とは何か?

ロールは、ユーザーの「役割」を示します。Spring Securityでは、ROLE_ADMINROLE_USERのように、プレフィックスとしてROLE_が付きます。これはSpring Securityが内部的にロールと権限を区別するためのルールです。

以下はロールに基づいてアクセス制御する例です。


http
    .authorizeHttpRequests(auth -> auth
        .requestMatchers("/admin/**").hasRole("ADMIN")
        .requestMatchers("/user/**").hasAnyRole("USER", "ADMIN")
        .anyRequest().authenticated()
    );

このように、ロールは大まかな分類であり、「どの機能を使えるか」の判断材料になります。

3. 権限(Authority)の考え方

3. 権限(Authority)の考え方
3. 権限(Authority)の考え方

権限は、ロールよりも細かい粒度でアクセス制御を行うために使われます。READ_ARTICLEEDIT_USERなど、操作そのものを指すケースが多いです。


http
    .authorizeHttpRequests(auth -> auth
        .requestMatchers("/articles/edit").hasAuthority("EDIT_ARTICLE")
        .anyRequest().authenticated()
    );

ロールと違い、プレフィックスROLE_は不要です。また、ロールは権限の集合と捉えることもできます。

4. スコープ(Scope)の役割

「4. スコープ(Scope)の役割」の重要ポイントを、初心者の方にも分かりやすく簡潔に解説します。

4. スコープ(Scope)の役割
4. スコープ(Scope)の役割

スコープは主にOAuth2で登場します。APIアクセスにおいて、「何ができるか」を限定するための情報です。例えば、read:userwrite:articleのように記述されます。


@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .oauth2ResourceServer(oauth2 -> oauth2
            .jwt(jwt -> jwt
                .jwtAuthenticationConverter(converter())
            )
        );
    return http.build();
}

このように、JWTトークン内のscopeクレームをSpring Securityで検証して、アクセス制御に利用することができます。

5. ベストプラクティス:ロール・権限の設計ルール

5. ベストプラクティス:ロール・権限の設計ルール
5. ベストプラクティス:ロール・権限の設計ルール

初心者が陥りがちなのが、すべての制御をロールで済ませようとすることです。しかし、以下のようなルールに従うことで、将来的に柔軟な運用が可能になります。

  • ロールは大まかな分類(例:ROLE_ADMIN)
  • 権限は操作レベルで定義(例:CREATE_ORDER, DELETE_USER)
  • ロールに権限を束ねる(ROLE_ADMIN → 全権限を含む)

このように分離しておけば、新しい操作が追加されても権限単位で柔軟に対応できます。

6. @PreAuthorizeでの権限チェック

6. @PreAuthorizeでの権限チェック
6. @PreAuthorizeでの権限チェック

Spring Securityでは、@PreAuthorizeアノテーションを使って、メソッド単位の権限制御も可能です。以下はその例です。


@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long userId) {
    // 管理者だけが実行可能
}

より細かくしたい場合は、権限を使った制御もできます。


@PreAuthorize("hasAuthority('EDIT_PROFILE')")
public void updateProfile(User user) {
    // 権限を持っていればOK
}

7. カスタムのロールと権限を設定する方法

「7. カスタムのロールと権限を設定する方法」の重要ポイントを、初心者の方にも分かりやすく簡潔に解説します。

7. カスタムのロールと権限を設定する方法
7. カスタムのロールと権限を設定する方法

カスタムでロールや権限を設計するには、UserDetailsgetAuthoritiesメソッドで必要な情報を返すようにします。


@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    return List.of(
        new SimpleGrantedAuthority("ROLE_USER"),
        new SimpleGrantedAuthority("EDIT_PROFILE")
    );
}

このようにしておけば、柔軟にロールと権限をミックスしたアクセス制御が可能になります。

8. 実務でよくある失敗と設計のコツ

8. 実務でよくある失敗と設計のコツ
8. 実務でよくある失敗と設計のコツ

以下は実務でありがちな失敗例です。

  • 全機能をROLE_ADMINで制御し、運用が複雑になる
  • APIとWebでスコープと権限が混在して混乱する
  • ロール名に操作名を含めてしまい、拡張性がなくなる

これらを防ぐためには、役割と操作の設計をきっちり分けておくことが大切です。たとえば以下のようなマッピングルールが現場でよく使われます。


ROLE_ADMIN → 全権限
ROLE_EDITOR → READ_ARTICLE, EDIT_ARTICLE
ROLE_VIEWER → READ_ARTICLE
関連記事:
JpaRepositoryのfindAllメソッド | Spring Data JPAのfindAllメソッドの使い方を完全ガイド!検索結果をThymeleafのth:eachで表示
Spring のDB登録/更新/削除(Spring Data JPA) | JavaのSpring Data JPAでデータを保存・更新・削除する方法!初心者向けガイド
Springの@RequestParamアノテーション | Javaの@RequestParamアノテーションの使い方を徹底解説!初心者でもわかるリクエストパラメータの基本と応用
Spring Bootとは?初めてのSpring入門 | Spring Bootとは?初心者向けにわかりやすく解説【Spring入門】
ページングとソート(Pageable/Sort)を最短実装:一覧APIの定石 | SpringのPageableとSortでページング一覧APIを最短実装!初心者向け完全ガイド
Springの@NotNullアノテーション | JavaのSpringで使う@NotNullアノテーションを完全解説!初心者でも理解できる入力チェックの基本
楽観/悲観ロックの使い分け:@Version とロックモードの実装手順 | Springの楽観ロックと悲観ロックを完全解説!@VersionとLockModeTypeの使い分け入門
Springの@Sizeアノテーション | JavaのSpringで使う@Sizeアノテーションを完全ガイド!初心者でもわかるバリデーション入門
カテゴリの一覧へ
新着記事
New1
Servlet
GenericServletのgetInitParameterNamesメソッド
JavaのGenericServletクラスのgetInitParameterNamesメソッドを徹底解説!初心者でもわかる初期化パラメータの取得方法
更新記事
New2
JSP
JSPとは何か?初心者向けにできること・仕組み・特徴をやさしく解説
JSPとは何か?初心者向けにできること・仕組み・特徴をやさしく解説
更新記事
New3
Servlet
HttpServletRequestのgetRemoteAddrメソッド
JavaのHttpServletRequestクラスとgetRemoteAddrメソッドを初心者向けに徹底解説!
更新記事
New4
Thymeleaf
Thymeleafのth:src
Thymeleafのth:srcの使い方を完全ガイド!初心者でもわかる画像やリソース設定
更新記事
人気記事
No.1
Java&Spring記事人気No1
Spring
Spring Boot × Javaバージョン対応表:3.5/3.4/3.3 と Java 21/17の互換性
 132
Spring BootとJavaの互換性一覧!3.5/3.4/3.3はJava 21・17に対応してる?
No.2
Java&Spring記事人気No2
Spring
Springの@Serviceアノテーション
 83
Springの@Serviceアノテーションの使い方を徹底解説!初心者でもわかるSpring フレームワーク入門
No.3
Java&Spring記事人気No3
Servlet
HttpSession
 82
JavaのHttpSessionを徹底解説!初心者でもわかるセッション管理の基本
No.4
Java&Spring記事人気No4
Java
Java開発環境
 81
Java開発環境「Eclipse(Pleiades)」のインストール方法とメリットを初心者向けに解説
No.5
Java&Spring記事人気No5
JSP
JSPの基本タグ一覧と使い方まとめ!実務で使えるタグを紹介
 80
JSPの基本タグ一覧と使い方まとめ!実務で使えるタグを紹介
No.6
Java&Spring記事人気No6
Spring
Spring Boot + VS Code 始め方:拡張機能・launch.json・ホットリロード
 77
Spring BootとVS Codeで開発を始めよう!拡張機能・launch.json・ホットリロードを丁寧に解説
No.7
Java&Spring記事人気No7
Spring
Springの@Componentアノテーション
 74
Springの@Componentアノテーションの使い方を徹底解説!初心者でもわかるSpring Boot入門
No.8
Java&Spring記事人気No8
Java
@SuppressWarningsアノテーションの使い方
 72
Javaの@SuppressWarningsアノテーションの使い方を完全ガイド!初心者でもわかる警告の抑制方法