課題
SpringSecurityのサンプルでは、以下のようにROLEに基づいて認可していることが多い。
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
が、ロールに基づいた認可ではなく権限に基づいた認可を行いたい。つまり、ロールごとに複数の権限を持たせ、ユーザにロールを複数割り当てたい。
参考 業務システムにおけるロールベースアクセス制御
解決方法
SpringSecurityでは、AuthenticationクラスをもとにアクセスコントロールするためのEL式が提供されている。 ログイン時にAuthenticationクラスのauthoritiesに権限情報を設定し、EL式を利用すれば権限に基づいた認可が実現できる。
参考 Spring Security 使い方メモ 認証・認可
参考 TERASOLUNA Server Framework for Java (5.x)
Expression Description hasRole([role]) Returns true if the current principal has the specified role. By default if the supplied role does not start with ‘ROLE_’ it will be added. This can be customized by modifying the defaultRolePrefix on DefaultWebSecurityExpressionHandler. hasAuthority([authority]) Returns true if the current principal has the specified authority permitAll Always evaluates to true isAuthenticated() Returns true if the user is not anonymous … …
参考 27.1.1 Common Built-In Expressions
上記EL式の実装クラスは、SecurityExpressionRoot。 参考 SecurityExpressionRoot
hasRoleとhasAuthorityの違いは、権限の文字列に”ROLE_“プレフィックスをつけてくれるか、つけてくれないか。hasRoleのプレフィックスはROLE以外も指定できるため、同じふるまいにもできる。つまり、hasRoleという名前でおもいっきりロールを意識させられているが、実際にはロールじゃなくてもいい。ただのGrantedAuthorityの文字列のチェックでしかない。 が、名前がまぎらわしいので、権限に基づいた認可をする場合はhasAuthorityを利用したほうが無難だと思う。
実装例
ソースコード全体はgithubに上げました。
実装したアプリ。
- ロールは、『管理者』と『一般』の2つ
- 権限は、『権限管理』と『ユーザ一覧表示』の2つ
シナリオ
- 一般ユーザでログインし、『権限管理』を参照できないことを確認する
- 管理者ユーザでログインし、一般ユーザに『権限管理』の権限を与える
- 一般ユーザでログインしなおし、『権限管理』を参照できることを確認する
Userは複数のRoleを保持する。
@Data
@Entity
@NoArgsConstructor
public class User implements Serializable {
@Id
@GeneratedValue
private Long id;
@Column(nullable = false)
private String name;
@Column(nullable = false)
private String password;
@ManyToMany
private List<Role> roles;
public User(String name, String password, List<Role> roles) {
this.name = name;
this.password = password;
this.roles = roles;
}
}
Roleは複数のPermissionを保持する。
@Data
@Entity
@NoArgsConstructor
public class Role implements Serializable {
@Id
@GeneratedValue
private Long id;
@Column(nullable = false)
private String name;
@ManyToMany
private List<Permission> permissions;
public Role(String name, List<Permission> permissions) {
this.name = name;
this.permissions = permissions;
}
public Role(Long id, List<Permission> permissions) {
this.id = id;
this.permissions = permissions;
}
@Data
@Entity
@NoArgsConstructor
public class Permission implements Serializable {
@Id
@GeneratedValue
private Long id;
@Column(nullable = false)
private String name;
public Permission(String name) {
this.name = name;
}
public Permission(Long id) {
this.id = id;
}
}
ユーザ情報の取得処理で、UserDetailsのGrantedAuthorityに権限を設定する。
CustomUserDetailsService.java
@Service
@AllArgsConstructor
public class CustomUserDetailsService implements UserDetailsService {
UserRepository userRepository;
@Override
@Transactional(readOnly = true)
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User target = userRepository.findOneByName(username);
List<SimpleGrantedAuthority> authorities = target.getRoles().stream()
.flatMap(i -> i.getPermissions().stream())
.map(i -> new SimpleGrantedAuthority(i.getName()))
.collect(Collectors.toList());
org.springframework.security.core.userdetails.User user = new org.springframework.security.core.userdetails.User(target.getName(), target.getPassword(), authorities);
return user;
}
}
あとは、権限に基づいて認可の設定をするだけ。
WebSecurityConfig.java
@EnableWebSecurity
@AllArgsConstructor
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
...
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity.csrf().disable()
.authorizeRequests()
.mvcMatchers(HttpMethod.PUT,"/api/roles/*").hasAuthority("CHANGE_ROLE")
.mvcMatchers("/roles").hasAuthority("CHANGE_ROLE")
.mvcMatchers("/users").hasAuthority("SHOW_ALL_USER")
...
}
...