Shoeisha Technology Media

CodeZine(コードジン)

特集ページ一覧

Spring BootでWebセキュリティを設定しよう

Spring Bootで作るマイクロサービス 第7回

  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加
2019/09/09 11:00

 前回、Spring Bootでのバックエンドでのデータ管理方法を紹介しました。今回も前回と同じサンプルアプリケーションを使って、管理者向けのWebアクセスに対してアクセス制限をかける方法を紹介します。

目次

サンプルアプリケーションの概要

 サンプルアプリケーションは、図1に示す通り、郵便番号と住所データを提供する簡単なアプリケーションです。

 今回は管理者を想定したWeb側からのアクセスに対してBasic認証と任意のヘッダ値をチェックする2種類のセキュリティ設定を行う方法について説明します。

 通常、APIサーバの場合には、APIキーやAPIシークレットキーなどを用いてトークンをリクエストヘッダに設定するといった使い方が多いです。

図1:サンプルアプリケーションのイメージ
図1:サンプルアプリケーションのイメージ

Spring Security Web(1)

 Webでのセキュリティを扱う場合には、Filterなどを使って自分で作成することも可能ですが、セキュリティ関連のトレンドについていきながら安全なアプリケーションを維持するのは難しいことでもあります。

 しかし、Spring Security Webを使えば簡単に図2に示すようにWebアプリケーションにセキュリティ機能を追加できます。

 現在セキュリティ要件を満たしている場合でも、Spring Securityのようなフレームワークを使うことは、セキュリティのトレンドが変化しても対応しやすくなるためメリットがあります。

 また、Spring SecurityはWebセキュリティ機能以外のLDAPやOAuthなどもありますが、Web機能が最もよく利用されています。

図2:サンプルアプリケーションのイメージ
図2:サンプルアプリケーションのイメージ

 また、Spring Security Webには主に表1の機能があり、Spring Security Webを追加すると、これらの機能は自動的に有効になります。

表1:Spring Security Webの主な機能
主な機能 説明 
認証・認可 ログイン機能やロール設定などの機能があります。
セッション管理 セッションのライフサイクルや二重ログイン防止などの機能があります。
セキュリティ用ヘッダ frame-optionsなどセキュリティに関連するレスポンスヘッダをコントロールします。
CSRF対策機能 クロスサイトリクエストフォージェリ攻撃対策機能。
ファイアウォール機能 不正なURLなどのチェック機能。

Spring BootでのSpring Securityの設定

 Spring BootでSpring SecurityをGradleで使う場合には、リスト1のように「org.springframework.boot:spring-boot-starter-security」というスターターを追加します。

[リスト1]Spring Securityのスターター指定(build.gradleの抜粋)
dependencies {
    : // (省略)
    implementation 'org.springframework.boot:spring-boot-starter-security'
}

基本的な使い方

 Spring BootでSpring Securityを使うには、リスト2のようにWebSecurityConfigurerAdapterクラスを継承して定義を行います。

 クラスを追加するだけで、既存のRestController側に何も記述せずにセキュリティ機能が追加できるため、セキュリティ部分とビジネス要件を完全に分離して管理できるのも利点です。

[リスト2]WebSecurityConfigurerAdapterクラスの継承例(src/main/java/com/coltware/springboot/zipcode/config/WebBasicAuthSecurityConfiguration.javaの抜粋)
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

@Configuration
@EnableWebSecurity  //  (1) Spring Securityを使うための設定
public class WebBasicAuthSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        //  (2) 主に全体に対するセキュリティ設定を行う
        //  web.ignoring().antMatchers("/css/**","/js/**","/images/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //  (3) 主にURLごとに異なるセキュリティ設定を行う
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //  (4) 主に認証方法の実装の設定を行う
    }
}

 まず、(1)のEnableWebSecurityアノテーションでSpring Securityを有効にします。WebSecurityConfigurerAdapterには3つの設定メソッドがあり、おおよその設定区分が異なっています。

 (2)のWebSecurityのconfigureメソッドでは全体に対するセキュリティ設定を行います。一般的によく行われる設定は、特定のパスのみセキュリティ設定を無効にするなどがあります。今回はAPIサーバなので静的リソースなどはありませんが、通常のWebアプリなどの場合にはCSSやJavaScriptファイル、画像ファイルなどをアクセス制限から除外する指定がよく行われます。

 (3)のHttpSecurityのconfigureメソッドではURLごとにセキュリティ設定を行います。複数のURLで異なるポリシーを設定する場合にはWebSecurityConfigurerAdapterインターフェースを実装したクラスを複数定義するのが簡単です。また、さまざまな記述方法がありますので、詳しくはSpring Securityのリファレンスなども参照してください。

 そして、(4)のAuthenticationManagerBuilderのconfigureメソッドでは、認証方法の実装方法などの設定を行います。

 これらの使い方は、後述するBasic認証での設定やヘッダでの認証で説明します。

Basic認証でのアクセス制限方法

 先ほどの基本的な使い方で紹介したメソッドに必要な実装を追加し、Basic認証を実装していきます。

 /admin以下のパスに対してBasic認証でアクセス制限を行うコードがリスト3のようになります。

[リスト3]Basic認証でのアクセス制御例(src/main/java/com/coltware/springboot/zipcode/config/WebBasicAuthSecurityConfiguration.javaの抜粋)
public class WebBasicAuthSecurityConfiguration extends WebSecurityConfigurerAdapter {

    // (1) Basic認証のID
    @Value("${zipcode.admin.username}")
    private String username;

    // (2) Basic認証のパスワード
    @Value("${zipcode.admin.password")
    private String password;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // (3) Basic認証の対象となるパス
        http.antMatcher("/admin/**");

        // (4) Basic認証を指定
        http.httpBasic();

        // (5) 対象のすべてのパスに対して認証を有効にする
        http.authorizeRequests().anyRequest().authenticated();

        // (6) すべてのリクエストをステートレスとして設定
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        // : 省略
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // (7) Basic認証の実装を指定
        auth.authenticationProvider(new BasicAuthenticationProvider());
    }

    // (8) 認証処理の実装クラス
    public class BasicAuthenticationProvider implements AuthenticationProvider {

        // (9) 認証チェック
        @Override
        public Authentication authenticate(Authentication authentication) throws AuthenticationException {

            String name = authentication.getName();
            String password = authentication.getCredentials().toString();

            //  入力された name / password をチェックする
            if( name.equals(username) && password.equals(password) ){
               return new UsernamePasswordAuthenticationToken(name,password,authentication.getAuthorities());
            }

            throw new AuthenticationCredentialsNotFoundException("basic auth error");
        }

        // (10) 処理すべきAuthenticationクラスのチェック
        @Override
        public boolean supports(Class<?> authentication) {
            return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
        }
    }
    // : 省略
}

 (1)(2)で設定ファイルからBasic認証のIDとパスワードを取得するようにします。(3)ではアクセス制限をかけるパスのAnt形式でのパターンを指定しています。Ant形式以外にも、Spring MVC形式でのパターン指定のmvcMatcherなど、異なる指定方法があります。

 次に(4)のようにhttpBasic()にてBasic認証を行う指定をします。(5)では(3)で指定したすべてのパスに対して(4)の認証方法を行う設定にします。

 今回は、説明しやすいように(3)から(6)までの記述を1行ずつ記述していきましたが、これらを1行で記述していくことも可能です。

 ここでの記述がどのような設定となるのかがわかりにくい場合は、JavaがXML上ではどのようになるのかがわかるとよりわかりやすくなります。より詳しい内容は、Spring Securityのリファレンスを参照してください。

 (6)はセッション管理の指定ですが、Spring Securityではデフォルトでは自動的にセッションを作成してしまうため、APIサーバのような用途の場合には、ステートレスとして動作するように設定します。(7)で認証の実装を指定し、実際のBasic認証でのチェック処理はAuthenticationProviderインターフェースを実装したクラスを(8)のように実装します。

 (9)のauthenticateメソッドでは具体的なIDとパスワードをチェックする処理を実装し、(10)のsupportsメソッドは、AuthenticationProviderの実装クラスが処理すべきAuthenticationクラスかどうかをチェックしています。

 このように2つのメソッドを組み合わせて実装することで、他の認証形式の場合には処理を行わないようにし、複数の認証形式をサポートすることができるようになっています。


  • ブックマーク
  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • WINGSプロジェクト 小林 昌弘(コバヤシ マサヒロ)

    <WINGSプロジェクトについて> 有限会社 WINGSプロジェクトが運営する、テクニカル執筆コミュニティ(代表 山田祥寛)。個人紹介主にWeb開発分野の書籍/記事執筆、翻訳、講演等を幅広く手がける。2018年11月時点での登録メンバは55名で、現在も執筆メンバを募集中。興味のある方は、どしど...

  • 山田 祥寛(ヤマダ ヨシヒロ)

    静岡県榛原町生まれ。一橋大学経済学部卒業後、NECにてシステム企画業務に携わるが、2003年4月に念願かなってフリーライターに転身。Microsoft MVP for ASP/ASP.NET。執筆コミュニティ「WINGSプロジェクト」代表。 主な著書に「入門シリーズ(サーバサイドAjax/XMLD...

バックナンバー

連載:Spring Bootで作るマイクロサービス
All contents copyright © 2005-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5