SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

デブサミ・デブスト

講座

書籍

新着記事一覧を見る

連載記事

人気記事の執筆者

CodeZine編集部

丸毛 透

中島 佑馬

SpringOne 2024 参加チーム

WINGSプロジェクト 山内 直
イベント
イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

講演資料・動画まとめページ

Developers Summit 2024 KANSAI 講演関連資料まとめ

Developers Summit 2024 Summer 講演資料まとめ

Developers Boost 2024 講演資料・動画まとめ

Developers Summit 2024 講演資料まとめ

Developers CAREER Boost 2023 講演資料・動画まとめ

Women Developers Summit 2023 講演資料・動画まとめ

CodeZine BOOKS(コードジン・ブックス)は、CodeZineの連載からカットアップした、開発現場の課題解決に役立つ書籍シリーズです。

書籍に関する記事を見る

Spring Bootで作るマイクロサービス

Spring BootでWebセキュリティを設定しよう

Spring Bootで作るマイクロサービス 第7回


  • X ポスト
  • このエントリーをはてなブックマークに追加

ダウンロード サンプルファイル (70.9 KB)

Spring Security Web(2)

特定ヘッダでのチェック

 続いて、特定のヘッダをチェックする方法を紹介します。

 APIの場合、図3に示すトークンを使ったアクセス制御はよく行う手法です。管理者からのアクセスに限らず、トークンに応じて柔軟なアクセスコントロールが行いやすいため、こちらの方法がより多く使われるのかもしれません。

 リスト4は、処理をより単純化し、X-Tokenという1つのヘッダ値でのチェックによって、アクセス制御を行うためのサンプルコードです。

特定ヘッダでのチェック
特定ヘッダでのチェック
[リスト4]特定ヘッダでのチェック例(src/main/java/com/coltware/springboot/zipcode/config/WebHeaderSecurityConfiguration.javaの抜粋) 
public class WebHeaderSecurityConfiguration extends WebSecurityConfigurerAdapter {

    // : 省略

    // (1) フィルタを実装
    public class HeaderCheckFilter extends AbstractPreAuthenticatedProcessingFilter {

        private String headerName;

        public HeaderCheckFilter(String headerName) {
            this.headerName = headerName;
        }

        // (2) ヘッダ(X-Token)の値を返す
        @Override
        protected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {
            return request.getHeader(headerName);
        }

        @Override
        protected Object getPreAuthenticatedCredentials(HttpServletRequest request) {
            return "";
        }
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        HeaderCheckFilter filter = new HeaderCheckFilter("X-Token");

        // (3) ヘッダのチェック
        filter.setAuthenticationManager(new AuthenticationManager() {
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {

                String principal = (String) authentication.getPrincipal();

                // X-Tokenのヘッダの値をチェックする
                if(principal.equals("PASS")) {
                    // (4) 認証済みとして設定する
                    authentication.setAuthenticated(true);
                }
                else{
                    throw new BadCredentialsException("Token key error");
                }
                return authentication;
            }
        });

        // 認証の対象となるパス
        http.antMatcher("/admin/**");

        // (5) フィルタの設定
        http.addFilter(filter);

        // 対象のすべてのパスに対して認証を有効にする
        http.authorizeRequests().anyRequest().authenticated();

        // : 省略
    }

    //  : 省略
}

 (1)でヘッダから必要な値を取り出すためのフィルタのクラスを定義します。

 このクラスはAbstractPreAuthenticatedProcessingFilterインターフェースの実装クラスであり、getPreAuthenticatedPrincipalとgetPreAuthenticatedCredentialsのメソッドをオーバライドします。

 今回のサンプルでは(2)のように指定されたヘッダの値のみを返します。

 実際にヘッダのチェックは、(3)のようにsetAuthenticationManagerメソッド内で行い、ヘッダの値が問題なければ(4)のように認証済みとして設定します。

 後は先ほどのBasic認証と同様に設定していきますが、Basic認証を使う代わりに作成したフィルタを使うように(5)の通りに設定します。

 より自由に認証方法を実装したい場合には、今回の実装を参考にSpring Securityのリファレンスを参照するとよいと思います。

CSRF対策の設定

 CSRFとは、クロスサイトリクエストフォージェリの略であり、図4(左)のようにサイトアクセス者が不正サイトを通じて意図しない登録処理などを行う攻撃の1つです。

 この攻撃の一般的な防止法には、図4(右)のように、POSTやPUTなどのメソッドでそのページがリクエストをするときに、事前に作成したワンタイムパスワードと一緒にリクエストするといった方法があります。

 Spring Securityを有効にするとデフォルトでこのCSRF対策が有効になります。しかしながら、APIサーバではこの対策は必要ないためリスト5のように機能を無効にします。

図4:Spring SecurityでのCSRF対策
図4:Spring SecurityでのCSRF対策
[リスト5]CSRFの無効設定(src/main/java/com/coltware/springboot/zipcode/config/WebSecurityConfigurerAdapter.javaの抜粋) 
@Override
protected void configure(HttpSecurity http) throws Exception {
    // : 省略
    http.csrf().disable();
    // : 省略
}

認証エラーの設定

 認証エラーが発生したときには、APIサーバであればリスト6のようにJSON形式でエラーを返す必要があります。

[リスト6]エラー時のJSON例 
{
  "status": {
    "code": "error",
    "message": "Full authentication is required to access this resource"
  }
}

 その場合には、エラー時の処理をリスト6のように設定します。

[リスト7]エラーレスポンスの設定(src/main/java/com/coltware/springboot/zipcode/config/WebSecurityConfigurerAdapter.javaの抜粋) 
@Override
protected void configure(HttpSecurity http) throws Exception {
    // : 省略

    // (1) エラーが生じたときのレスポンス設定
    http.exceptionHandling().authenticationEntryPoint(new ErrorAuthEntryPoint());
}
// (2) エラー結果を記述するための実装
public class ErrorAuthEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException)
            throws IOException, ServletException {

        // (3) 実際のエラーを出力する
        ErrorResponse errorResponse = Response.createErrorResponse(authException);
        ObjectMapper mapper = new ObjectMapper();
        mapper.configure(JsonParser.Feature.ALLOW_COMMENTS,true);

        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");

        mapper.writeValue(response.getWriter(),errorResponse);
    }
}

 (1)で、認証エラーが生じた場合に、レスポンスを生成するクラスのインスタンスを設定します。

 レスポンスを生成するクラスは、(2)のようにAuthenticationEntryPointインターフェースを実装したクラスを作成します。

 実際のレスポンスは自由にであり、JSON形式でメッセージを出力するように(3)のようにjacksonライブラリのObjectMapperクラスを使って出力しています。

最後に

 Spring Securityは今回紹介した機能以外にも非常に多くの機能があり、通常のWebアプリケーションを想定したFormを使ったログインやログアウトなどの機能も備えてます。

 また、APIサーバでセキュリティをより強固にしたい場合にはOAuthなどのセキュリティ機能を使います。Spring SecurityはOAuthのプロバイダ機能もあるので、より強固なセキュリティにも対応可能です。

 しかし、機能が高度である一方、記述方法が柔軟であり、なかなか正しい制限方法を明確に記述することが難しくもあります。このあたりは、慣れが必要だと思うので、さまざまなサンプルを見て他の人の記述方法なども参考にしてみてください。

 今回まではサンプルアプリケーションを通じてSpring Bootでの各種スターター(ライブラリ等)の使い方を中心に紹介してきました。次回からはSpring Bootの仕組み側を見ていきます。

参考資料

 

本連載の書籍が発売されました!

Javaによる高速Webアプリケーション開発のためのSpring Boot入門

Amazon(POD) Amazon(電子書籍) その他

Javaによる高速Webアプリケーション開発のためのSpring Boot入門

著者:WINGSプロジェクト 小林昌弘
発売日:2020年5月31日(水)
価格(POD):2,200円(税込)
価格(電書):1,760円(税込)

PREV

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Spring Bootで作るマイクロサービス連載記事一覧

もっと読む

この記事の著者

WINGSプロジェクト 小林 昌弘(コバヤシ マサヒロ)

WINGSプロジェクトについて>有限会社 WINGSプロジェクトが運営する、テクニカル執筆コミュニティ(代表 山田祥寛...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

山田 祥寛(ヤマダ ヨシヒロ)

静岡県榛原町生まれ。一橋大学経済学部卒業後、NECにてシステム企画業務に携わるが、2003年4月に念願かなってフリーライターに転身。Microsoft MVP for Visual Studio and Development Technologies。執筆コミュニティ「WINGSプロジェクト」代表。主な著書に「独習シリーズ(Java・C#・Python・PHP・Ruby・JSP&サーブレットなど)」「速習シリーズ(ASP.NET Core・Vue.js・React・TypeScript・ECMAScript、Laravelなど)」「改訂3版JavaScript本格入門」「これからはじめるReact実践入門」「はじめてのAndroidアプリ開発 Kotlin編 」他、著書多数

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/11703 2020/06/01 19:04

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説 NEW
  2. 2
    「GPU」 ~マンガでプログラミング用語解説
  3. 3
    トヨクモ、ノーコードで業務システムを作れるテンプレートギャラリーを無料公開 NEW
  4. 4
    なぜバックエンド開発にRustを使うのか? その魅力はパフォーマンス、安全性、生産性の高さ
  5. 5
    9割超がソフトウェアテストの内製化を進めていることが明らかに、従業員1000名以上の大企業を対象に調査を実施 NEW
  6. 6
    次のアクションが見つかるIT勉強会「Next Step Meetup by ココカラ勉強会」、11月23日に大阪市にて開催 NEW
  7. 7
    フリーランス新法への賛否は五分五分、反対理由には「気軽にフリーランスを採用しにくくなる」との声も
  8. 8
    フリーランスになってからの収入の変化とは? フリーランスを対象に調査を実施 NEW
  9. 9
    Google、Androidアプリ開発用の統合開発環境「Android Studio」の最新アップデートをリリース NEW
  10. 10
    The Linux Foundation Japan、OpenSSFによる最新レポートの日本語版「ソフトウェア開発者のセキュリティ教育改善プラン」を公開 NEW
  1. 1
    DMM.comの施策から見る、事業をむしばむ「技術負債」への処方箋──リファクタリングの「言語化」でインシデントを予防
  2. 2
    いくつ知ってる? GitHub Copilotの新機能、コーディングにとどまらない進化を解説
  3. 3
    東京ガスの内製開発チーム、「技術面接」がエンジニア0人からの挑戦を可能にしたカギだった
  4. 4
    企業の7割超が「2025年の崖」を理解していないことが明らかに。jinjerが「企業のクラウド化」を調査
  5. 5
    生成AI時代のソフトウェアテストは「めんどくさい」── 高橋寿一氏が語る、これからの「シフトレフト」「シフトライト」
  6. 6
    なぜバックエンド開発にRustを使うのか? その魅力はパフォーマンス、安全性、生産性の高さ
  7. 7
    テスト自動化ツールの導入で発生する課題……事例と共に、業界20年のベテランが解消方法を解説!
  8. 8
    トヨタ式アジャイル開発! モブプログラミングを取り入れて開発を効率化させるヒント
  9. 9
    Pythonや生成AI活用など無料で基礎が学べるプログラミング学習講座「スタディングテック」提供開始
  10. 10
    はたらき方が多様化する現在、人材サービス業界の変化とは? ──パーソルグループならではの開発組織作り

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    VSCodeをドキュメント作成に活用――テキストエディタ、Markdownエディタの設定と拡張機能を解説 NEW
  2. 2
    「GPU」 ~マンガでプログラミング用語解説
  3. 3
    トヨクモ、ノーコードで業務システムを作れるテンプレートギャラリーを無料公開 NEW
  4. 4
    なぜバックエンド開発にRustを使うのか? その魅力はパフォーマンス、安全性、生産性の高さ
  5. 5
    9割超がソフトウェアテストの内製化を進めていることが明らかに、従業員1000名以上の大企業を対象に調査を実施 NEW
  6. 6
    次のアクションが見つかるIT勉強会「Next Step Meetup by ココカラ勉強会」、11月23日に大阪市にて開催 NEW
  7. 7
    フリーランス新法への賛否は五分五分、反対理由には「気軽にフリーランスを採用しにくくなる」との声も
  8. 8
    フリーランスになってからの収入の変化とは? フリーランスを対象に調査を実施 NEW
  9. 9
    Google、Androidアプリ開発用の統合開発環境「Android Studio」の最新アップデートをリリース NEW
  10. 10
    The Linux Foundation Japan、OpenSSFによる最新レポートの日本語版「ソフトウェア開発者のセキュリティ教育改善プラン」を公開 NEW
  1. 1
    DMM.comの施策から見る、事業をむしばむ「技術負債」への処方箋──リファクタリングの「言語化」でインシデントを予防
  2. 2
    いくつ知ってる? GitHub Copilotの新機能、コーディングにとどまらない進化を解説
  3. 3
    東京ガスの内製開発チーム、「技術面接」がエンジニア0人からの挑戦を可能にしたカギだった
  4. 4
    企業の7割超が「2025年の崖」を理解していないことが明らかに。jinjerが「企業のクラウド化」を調査
  5. 5
    生成AI時代のソフトウェアテストは「めんどくさい」── 高橋寿一氏が語る、これからの「シフトレフト」「シフトライト」
  6. 6
    なぜバックエンド開発にRustを使うのか? その魅力はパフォーマンス、安全性、生産性の高さ
  7. 7
    テスト自動化ツールの導入で発生する課題……事例と共に、業界20年のベテランが解消方法を解説!
  8. 8
    トヨタ式アジャイル開発! モブプログラミングを取り入れて開発を効率化させるヒント
  9. 9
    Pythonや生成AI活用など無料で基礎が学べるプログラミング学習講座「スタディングテック」提供開始
  10. 10
    はたらき方が多様化する現在、人材サービス業界の変化とは? ──パーソルグループならではの開発組織作り