B2B SaaSでSpringSecurityによる Roleを用いたユーザー権限設定の実装について

© RAKUS Co., Ltd. B2B SaaSでSpringSecurityによる Roleを用いたユーザー権限設定の実装について JJUG CCC
2023 Fall 株式会社ラクス開発統括部 HUYNH PHUONG（フィンフォン） 2023/11/11 1

© RAKUS Co., Ltd. 2 自己紹介 HUYNH PHUONG（フィンフォン）・株式会社ラクス
開発統括部・バックエンドエンジニア・担当サービス：楽楽電子保存自己紹介

© RAKUS Co., Ltd. 3 本日お話すること・開発要件・実装方法選定・SpringSecurityの機能を使った事例・SpringSecurityでは実現できない部分
Spring AOP(AspectJ)で回避

© RAKUS Co., Ltd. 6 こんな開発要件がありました。無料版ユーザー有料版ユーザー • 有料版/無料版で利用できる機能を制限する
開発要件エンドポイント制限

© RAKUS Co., Ltd. 8 • アクセス違反の理由に応じて、エラーメッセージを出し分ける開発要件オプションが有
効でない権限がない指定タグに閲覧権限がない指定帳票に閲覧権限がない無料版ユーザー有料版ユーザー有料版ユーザー有料版ユーザー

© RAKUS Co., Ltd. 11 実装方法の選択肢 Spring bootを利用しているのでこの前提で以下のいずれかの方法で検討しました・Spring
security ・Spring AOP(AspectJ) ・Filter 実装方法選定

© RAKUS Co., Ltd. 12 実装方法選定 Spring security 使う強み・セキュリティ機能は最低限の設定で実装できること
・一般的な脆弱性の対策を広くカバーしている・単体テストもサポートされている

© RAKUS Co., Ltd. 13 実装方法選定 Spring AOP(AspectJ) 使う強み・クリーナーコード
メインロジックから横断的関心(Crosscutting Concern) （ロギング、セキュリティなど）を取り除く・メンテナンスが楽になる AOPで注入する処理は共通処理として一元管理される

© RAKUS Co., Ltd. 14 実装方法選定 Filter 使う強み・Springは、Filterを作成するためのサポートクラスも提供されている
・各コントローラーの前後に共通処理を実行することが担保できる

© RAKUS Co., Ltd. 15 実装方法選定 Spring securityとAOPを併用しました現場で認証処理はSpringSecurityで実装されていたので認可処理でも簡単に実装できた
無料版ユーザー有料版ユーザー

© RAKUS Co., Ltd. 16 実装方法選定指定タグに閲覧権限がない指定帳票に閲覧権限がない
有料版ユーザー有料版ユーザー SpringSecurityで実装できない部分も出てしまったので Spring AOP(AspectJ)で回避できた（セキュリティーは横断的関心(Crosscutting Concern)の中で一つなので似合っている）

© RAKUS Co., Ltd. 18 SpringSecurityの機能を使う部分 SpringSecurityの認可機能なら、アクセス権限を制御することは簡単に出来る図：HttpServletRequest を認証する（Spring公開ドキュメント）
ここで触る

© RAKUS Co., Ltd. 19 SpringSecurityの機能を使う部分：実装事例現場での実装事例ログインの際にSecurityContextのAuthentication情報にGrantedAuthority一覧を追加する List<GrantedAuthority>
authorities = List.of( new SimpleGrantedAuthority(“MANAGER”) ); SecurityContextHolder.getContext().setAuthentication( new UsernamePasswordAuthenticationToken(principal, credentials, authorities));

© RAKUS Co., Ltd. 20 SpringSecurityの機能を使う部分：実装事例 http.authorizeHttpRequests(auth -> { authenticationProperties.getAuthorities().forEach(authority
-> auth.requestMatchers(authority.getHttpMethod(), authority.getEndPoint()) .hasAnyRole(authority.getRole())); }) HttpServletRequestsを利用し、認可定義 Httpメソッドによるマッチング RequestMatcherによるマッチング

© RAKUS Co., Ltd. 21 SpringSecurityの機能を使う部分：実装事例 AccessDeniedHandlerの処理関数を用意する public AccessDeniedHandler accessDeniedHandler()
{ return (request, response, accessDeniedException) -> { request.getRequestDispatcher(【該当パス】) .forward(request, response); }; } 無料版/有料版を判断し、該当のエラーコントローラーへ移動

© RAKUS Co., Ltd. 22 SpringSecurityの機能を使う部分：実装事例 http.exceptionHandling(e -> e.accessDeniedHandler(accessDeniedHandler())); Spring
SecurityのAccessDeniedHandlerを定義する

© RAKUS Co., Ltd. 24 Spring AOP(AspectJ) Spring認可の課題アクセス権限がない時にAccessDeniedExceptionのみを返すため、エラーケースを区別するのは簡単にできない
P22~23で使用しているが、無料版/有料版の判断がすごく簡単だから！

© RAKUS Co., Ltd. 25 指定タグに閲覧権限がない指定帳票に閲覧権限がない指定アップロードファイルに閲覧権限がない Spring AOP(AspectJ)：Spring認可の課題
・データベースへアクセスが必要・分岐ケースも多い

© RAKUS Co., Ltd. 26 Spring AOP(AspectJ)：Spring認可の課題複雑で同様処理だが二重実行が発生・認可・エラー出し分け
AOP

© RAKUS Co., Ltd. 27 AOP概要 Spring AOP(AspectJ)：AOP概要クラスを横断した処理(例外処理やロギングなど)をビジネスロジックから分離するようにコードを記述する
Advice Join points Point cut Program Execution Advice：抽出した共通処理 Joinpoint：Adviceを入れる場所（@Before、 @Afterなど） Pointcut：Adviceを適用する条件例： @Before("@annotation(XXX)") https://spring.pleiades.io/spring- framework/reference/core/aop.html

© RAKUS Co., Ltd. 29 Spring AOP(AspectJ)：実装事例専用アノテーション @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME)
public @interface BrowsableChecker { } メソッドのみに使用できる

© RAKUS Co., Ltd. 30 Spring AOP(AspectJ)：実装事例 Advice定義 AOPのAdviceを定義し、権限チェック処理を実装する @Aspect
@Component public class BrowsableCheckerAspect { @Before("@annotation(BrowsableChecker)") public void check(JoinPoint joinPoint) { // 権限判断処理を行う } } メソッドが実行される前に、 Advice実行 AOP宣言指定したアノテーションが付いているメソッドのみがAOPの対象

© RAKUS Co., Ltd. Advice定義（権限判断処理） @Before("@annotation(BrowsableChecker)") public void check(JoinPoint joinPoint)
{ // パラメーターを取得する Object command = joinPoint.getArgs()[0]; // commandを該当な型に変換する if (target instanceof XXXCommand cmd) { // データベースからデータを取得して権限チェック // アクセス拒否の場合、例外をThrowする } } Joinpointからメソッドのパラメーターが取得可能 Spring AOP(AspectJ)：実装事例

© RAKUS Co., Ltd. Spring AOP(AspectJ)：実装事例 AOP注入データアクセス制御が必要なサービスのメソッドに専用アノテーションを簡単に付ける @Service
public class XXXUpdateService { @BrowsableChecker public void execute(XXXCommand cmd) { // メイン処理を行う（略） } } excuteメソッドの処理を実行する前に、権限チェックのAOP を実行する

© RAKUS Co., Ltd. Spring AOP(AspectJ)：実装事例単体テスト単体テストでもMockとして共通化に用意する public class
BrowsableCheckerMock { public void setup(XXXCommand command) { // 共通Mock処理を行う } } 権限チェックMockクラス

© RAKUS Co., Ltd. Spring AOP(AspectJ)：実装事例単体テスト @SpringBootTest @Import([BrowsableCheckerMock.class]) class
XXXUpdateServiceSpec extends Specification { def "アクセスする権限がありません"() { setup: browsableCheckerMock.setup(cmd) } } ＠Importを定義し、使用する

© RAKUS Co., Ltd. おわりにおわりに Spring securityの認可機能はエンドポイント単位もデータ単位も制限可能但し、SpringSecurityの認可で実装すれば、アクセス拒否の時に
AccessDeniedExceptionのみを返すため、エラーの理由を区別することができないので注意必要セキュリティーとは横断的関心(Crosscutting Concern)の中で一つなのでSpringSecurity認可の代わりに、AOPで回避可能

© RAKUS Co., Ltd. おわりに Spring Security in Action Laurentiu
Spilca 参照 Spring によるアスペクト指向プログラミング https://spring.pleiades.io/spring- framework/reference/core/aop.html Spring Security - リファレンス https://spring.pleiades.io/spring-security/reference/

B2B SaaSでSpringSecurityによる Roleを用いたユーザー権限設定の 実装について

B2B SaaSでSpringSecurityによる Roleを用いたユーザー権限設定の 実装について

More Decks by Rakus_Dev

Other Decks in Programming

Featured

Transcript

B2B SaaSでSpringSecurityによる Roleを用いたユーザー権限設定の実装について

B2B SaaSでSpringSecurityによる Roleを用いたユーザー権限設定の実装について