プログラミング Java

【SpringSecurity】#2~ ユーザ毎の権限設定(認可)

投稿日:2021年2月11日 更新日:

概要

権限によって、アクセス可能なページを制限する機能の実装します。
管理者画面を作成し、権限によって画面の出し分けを行います。

前提

実装

管理者画面の作成

配置先:src/main/resources/templates/admin/index.html

イメージ

HTML

Controller
配置先:src/main/java/com/example/demo/controller/AdminController.java

 

セキュリティの設定

SecurityConfig.java

.antMatchers(“/admin/**”).hasAuthority(“ROLE_ADMIN”)
 /admin以下のディレクトリは、ROLE_ADMINの権限を有するユーザのみ許可します。

出し分けの制御

SpringBootチュートリアルのヘッダーに管理画面用のリンクを追加して、
アドミン権限を持つユーザがログインした場合のみ表示されるようにします。

配置先:src/main/resources/templates/header.html

イメージ(ホーム画面)

HTML

以下、SpringBootチュートリアル > #4~ headerの作成と埋め込みに対する変更点です。

・xmlns:sec=”http://www.thymeleaf.org/extras/spring-security”
 無くても実装上の問題にはならないが、
 HTML5の定義にないことでIDE上に警告表示されることが無いようにする対処。

・<a sec:authorize=”hasRole(‘ROLE_ADMIN’)” th:href=”@{/admin/index}”>管理画面</a>
 ユーザの権限がROLE_ADMINであればリンクが表示されるようにします。
  

テスト

  • ユーザ権限でログインし、管理画面のリンクが表示されないこと
  •  

  • ユーザ権限でログインし、管理画面のリンクを直接指定してもアクセスできないこと

    ※SpringBootチュートリアルを元にしているため、エラーページが表示されます。
  •  

  • 管理権限でログインし、管理画面のリンクが表示されること
  •  

  • 管理権限でログインし、管理画面のリンクをクリックしてアクセスできること

まとめ

  • アクセス可能なページをSecurityConfigで定義する。
  • 画面上で、権限を有するユーザのみ表示するにはhasRoleで定義する。
  • 権限のないユーザは、直接リンクであってもアクセスできない。

参考

SpringSecurityについてもう一歩踏み込んで学んでみたい人向けの教科書
Spring解体新書 セキュリティ編 Spring Securityを徹底解説: 記憶喪失になっても忘れはいけないセキュリティ対策集

 
最後までお読み頂き、ありがとうございました!
ご意見・ご要望がありましたら、遠慮なくコメント下さい!
もし内容が良かったらランキング評価を頂けると励みになります(^^)

ランキング評価する

-プログラミング, Java
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


関連記事

【SpringSecurity】#3~ 独自のログイン画面

概要 オリジナルのログイン画面を実装する方法です。 以下の内容になっています。 ログイン用のHTMLを用意する。 Controllerにログインの遷移先を定義する。 SecurityConfigクラス …

【Java入門】繰り返し処理(while, for)

概要 繰り返し処理の制御構造について学んでいきましょう。 繰り返しには以下があります。 while(条件に一致する間だけ繰り返す) do-while(一度必ず実行し、その後は条件に一致する間だけ繰り返 …

【Java】文字列の完全一致と部分一致を判定する方法

Stringオブジェクトのmatches、containsメソッドを使った説明です。 戻り値:boolean ■追記(2022/5/4) ・前方一致にstartWithメソッドの用例 ・後方一致にen …

VBAが書けるまでにどのくらいかかったか?

これからVBAを学ぼうとしている人向けに参考情報として書きます。 前提 前提として、私の経歴を少し書いておきます。 ・PHPでのWeb開発1年未満 ・Javaの簡易なアプリは作れる ・SQLも理解して …

Springでバリデーションがimportされていないときの対処法

状況 SpringF/Wでバリデーションを実装したいが、@NotNullや@Minといったアノテーションが使えない。 @NotNullを使おうとすると、import com.sun.istack.No …

■運営者プロフィール
IT業界10年のエンジニア。
PHP -> VBA -> Javaと渡り歩いてきて、今はJavaをメインにフリーランスエンジニアとして活躍中!

[保有資格]
・Java SE 11 Gold

一度はエンジニアを辞めざるを得なかった私が再びエンジニアとして復活した数奇な物語

SpringFramworkの良書

■おすすめ教材
Javaの基本を学んだ人が、次のステップとして読む本(中級者向け)

※SpringはJavaのFrameworkの1つです。
変更のしやすさ、保守性の高さが特徴です。