Spring Security Testで認可を検証する方法を徹底解説！初心者向けセキュリティテスト入門

1. Spring Security Testとは？

1. Spring Security Testとは？

spring-security-testは、Spring Securityの機能をテストで検証するためのライブラリです。特に、ログイン後の認可（アクセス制御）や、ユーザーのロールに応じたアクセス可否などを単体テストで確認できるのが特徴です。

初心者でも取り入れやすく、セキュリティの自動化テストを実現するための重要な要素となっています。

2. Spring Security Testを使う準備

2. Spring Security Testを使う準備

まずは、spring-security-testの依存関係をbuild.gradleまたはpom.xmlに追加します。

testImplementation 'org.springframework.security:spring-security-test'

このライブラリを追加することで、@WithMockUserなどのアノテーションが利用できるようになり、擬似的なログイン状態を作り出してテストを実行できます。

3. @WithMockUserで認可テストを行う

3. @WithMockUserで認可テストを行う

もっとも基本的な認可テストの方法は、@WithMockUserを使った方法です。これは、仮想ユーザーでログイン状態を再現し、特定のエンドポイントにアクセスしたときの挙動を検証するテストです。

@SpringBootTest
@AutoConfigureMockMvc
public class SampleControllerTest {

    @Autowired
    private MockMvc mockMvc;

    @Test
    @WithMockUser(username = "testuser", roles = {"USER"})
    void ユーザー権限でアクセス可能なエンドポイントにアクセスできること() throws Exception {
        mockMvc.perform(get("/user/dashboard"))
               .andExpect(status().isOk());
    }
}

この例では、/user/dashboardというURLに対して、USERロールを持つユーザーでアクセスし、正常なレスポンス（200 OK）を期待しています。

4. 権限なしアクセスの失敗をテストする

4. 権限なしアクセスの失敗をテストする

次に、アクセス権がない場合のテストも重要です。認可設定が正しくないと、意図しないユーザーが機密情報にアクセスできてしまう危険があります。

@Test
@WithMockUser(username = "testuser", roles = {"USER"})
void 管理者専用ページにユーザー権限でアクセスすると禁止される() throws Exception {
    mockMvc.perform(get("/admin/settings"))
           .andExpect(status().isForbidden());
}

403 Forbiddenが返されることを確認することで、正しい認可設定が行われていると検証できます。

5. ロールを複数設定したテスト

5. ロールを複数設定したテスト

@WithMockUserにはロールを複数指定できます。例えば、ADMINとUSERの両方を持つユーザーに対して、どのURLが許可されているかを確認できます。

@Test
@WithMockUser(username = "adminuser", roles = {"ADMIN", "USER"})
void 管理者ユーザーはすべてのページにアクセスできる() throws Exception {
    mockMvc.perform(get("/admin/settings"))
           .andExpect(status().isOk());
}

このようにして、複数ロールのテストも柔軟に行うことができます。

6. @WithAnonymousUserを使った未認証アクセスの検証

6. @WithAnonymousUserを使った未認証アクセスの検証

ログインしていない状態でアクセスした場合の挙動を検証するには、@WithAnonymousUserアノテーションを使います。これは認証されていないユーザーとしてリクエストを送るためのアノテーションです。

@Test
@WithAnonymousUser
void 未認証ユーザーはログインページにリダイレクトされる() throws Exception {
    mockMvc.perform(get("/user/dashboard"))
           .andExpect(status().is3xxRedirection());
}

未認証ユーザーが保護されたページにアクセスしようとした場合、通常はログインページへのリダイレクトとなります。

7. カスタムユーザーデータを使いたいときは？

7. カスタムユーザーデータを使いたいときは？

@WithMockUserでは足りない場合、@WithUserDetailsを使って、実際にDBなどに存在するユーザー情報をもとにテストを行うことができます。これは、UserDetailsServiceで読み込まれるユーザー情報を使うため、より実際の挙動に近いテストが可能です。

@Test
@WithUserDetails("admin@example.com")
void 実在するユーザーでのアクセス検証() throws Exception {
    mockMvc.perform(get("/admin/settings"))
           .andExpect(status().isOk());
}

このように、リアルなデータでの検証も可能なため、認可の確認に強力な手段となります。

8. テストでよくあるミスとその回避策

8. テストでよくあるミスとその回避策

初心者がセキュリティテストでつまずきやすいポイントとして、MockMvcが正しく設定されていなかったり、テスト対象のURLが実際に存在していないといったケースがあります。また、Spring Securityの設定により、ロール名の前にROLE_が自動付与されることもあるので注意しましょう。

不安な場合は、テストのログ出力を有効にして、実際のリクエストとレスポンスの挙動を確認しながらデバッグするのが良い方法です。

9. 認可の自動テストで得られるメリット

9. 認可の自動テストで得られるメリット

認可に関するセキュリティテストを自動化しておくことで、開発中にうっかりアクセス制御を壊してしまっても即座に検知できます。また、チーム開発においてもルールが守られているかを一目で確認できるため、品質向上につながります。

Spring Security Testは設定も簡単で、最初の一歩としても非常に優れたツールです。