1. 概要

このクイックチュートリアルでは、SpringSecurityで定義されたユーザーロールに応じてJSONシリアル化出力をフィルタリングする方法を示します。

2. なぜフィルタリングする必要があるのですか?

さまざまな役割を持つユーザーにサービスを提供するWebアプリケーションがある、単純でありながら一般的なユースケースを考えてみましょう。 たとえば、これらの役割をUserおよびAdminとします。

まず、管理者がパブリックRESTAPIを介して公開されたオブジェクトの内部状態に完全にアクセスできるという要件を定義しましょう。 それどころか、ユーザーには事前定義されたオブジェクトのプロパティのセットのみが表示されます。

Spring Securityフレームワークを使用して、Webアプリケーションリソースへの不正アクセスを防止します。

APIでREST応答ペイロードとして返すオブジェクトを定義しましょう。

class Item {
    private int id;
    private String name;
    private String ownerName;

    // getters
}

もちろん、アプリケーションに存在するロールごとに個別のデータ転送オブジェクトクラスを定義することもできます。 ただし、このアプローチでは、コードベースに役に立たない重複や高度なクラス階層が導入されます。

一方、JacksonライブラリのJSONビュー機能を使用することもできます。 次のセクションで説明するように、フィールドに注釈を追加するのと同じくらい簡単にJSON表現をカスタマイズできます。

3. @JsonViewアノテーション

Jacksonライブラリは、 @JsonView アノテーションを使用してJSON表現に含めるフィールドをマークすることにより、複数のシリアル化/逆シリアル化コンテキストの定義をサポートします。 このアノテーションには、コンテキストを区別するために使用されるクラスタイプ必須パラメーターがあります。

クラスのフィールドを@JsonViewでマークする場合、デフォルトでは、シリアル化コンテキストには、ビューの一部として明示的にマークされていないすべてのプロパティが含まれることに注意してください。 この動作をオーバーライドするために、DEFAULT_VIEW_INCLUSIONマッパー機能を無効にすることができます。

まず、@JsonViewアノテーションの引数として使用するいくつかの内部クラスを使用してViewクラスを定義しましょう。

class View {
    public static class User {}
    public static class Admin extends User {}
}

次に、 @JsonView アノテーションをクラスに追加して、ownerNameが管理者ロールのみにアクセスできるようにします。

@JsonView(View.User.class)
private int id;
@JsonView(View.User.class)
private String name;
@JsonView(View.Admin.class)
private String ownerName;

4. @JsonViewアノテーションをSpringSecurityと統合する方法

次に、すべての役割とその名前を含む列挙型を追加しましょう。 その後、JSONビューとセキュリティロールの間のマッピングを紹介しましょう。

enum Role {
    ROLE_USER,
    ROLE_ADMIN
}

class View {

    public static final Map<Role, Class> MAPPING = new HashMap<>();

    static {
        MAPPING.put(Role.ADMIN, Admin.class);
        MAPPING.put(Role.USER, User.class);
    }

    //...
}

最後に、統合の中心点に到達しました。 JSONビューとSpringSecurityの役割を結び付けるには、アプリケーションのすべてのコントローラーメソッドに適用されるコントローラーアドバイス定義する必要があります。

これまでのところ、実行する必要があるのは、AbstractMappingJacksonResponseBodyAdviceクラスのbeforeBodyWriteInternalメソッドをオーバーライドすることだけです。

@RestControllerAdvice
class SecurityJsonViewControllerAdvice extends AbstractMappingJacksonResponseBodyAdvice {

    @Override
    protected void beforeBodyWriteInternal(
      MappingJacksonValue bodyContainer,
      MediaType contentType,
      MethodParameter returnType,
      ServerHttpRequest request,
      ServerHttpResponse response) {
        if (SecurityContextHolder.getContext().getAuthentication() != null
          && SecurityContextHolder.getContext().getAuthentication().getAuthorities() != null) {
            Collection<? extends GrantedAuthority> authorities
              = SecurityContextHolder.getContext().getAuthentication().getAuthorities();
            List<Class> jsonViews = authorities.stream()
              .map(GrantedAuthority::getAuthority)
              .map(AppConfig.Role::valueOf)
              .map(View.MAPPING::get)
              .collect(Collectors.toList());
            if (jsonViews.size() == 1) {
                bodyContainer.setSerializationView(jsonViews.get(0));
                return;
            }
            throw new IllegalArgumentException("Ambiguous @JsonView declaration for roles "
              + authorities.stream()
              .map(GrantedAuthority::getAuthority).collect(Collectors.joining(",")));
        }
    }
}

このように、アプリケーションからのすべての応答はこのアドバイスを通過し、定義したロールマッピングに従って適切なビュー表現を見つけます。 このアプローチでは、複数の役割を持つユーザーを扱う場合は注意が必要であることに注意してください。

5. 結論

この簡単なチュートリアルでは、SpringSecurityロールに基づいてWebアプリケーションでJSON出力をフィルタリングする方法を学習しました。

関連するすべてのコードは、Githubにあります。