春のセキュリティ–ホワイトリストのIP範囲

1. 概要

このチュートリアルでは、SpringセキュリティでIP範囲をホワイトリストに登録する方法について説明します。

JavaとXMLの両方の構成を見ていきます。また、カスタムAuthenticationProviderを使用してIP範囲をホワイトリストに登録する方法についても説明します。

2. Java構成

まず、Java構成について見ていきましょう。

hasIpAddress（）を使用して、特定のIPアドレスを持つユーザーのみが特定のリソースにアクセスできるようにすることができます。

hasIpAddress（）を使用した簡単なセキュリティ構成は次のとおりです。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
          .antMatchers("/login").permitAll()
          .antMatchers("/foos/**").hasIpAddress("11.11.11.11")
          .anyRequest().authenticated()
          .and()
          .formLogin().permitAll()
          .and()
          .csrf().disable();
    }

    // ...

}

この構成では、IPアドレスが「11.11.11.11」のユーザーのみが「/foos」リソースにアクセスできます。また、ホワイトリストに登録されたIPを持つユーザーは、「/foos/」URLにアクセスする前にログインする必要はありません。

「11.11.11.11」IPのユーザーに最初にログインさせたい場合は、次の形式の式でメソッドを使用できます。

//...
.antMatchers("/foos/**")
.access("isAuthenticated() and hasIpAddress('11.11.11.11')")
//...

3. XML構成

次に、XML構成を使用してIP範囲をホワイトリストに登録する方法を見てみましょう。

ここでもhasIpAddress（）を使用します。

<security:http>
    <security:form-login/>
    <security:intercept-url pattern="/login" access="permitAll()" />
    <security:intercept-url pattern="/foos/**" access="hasIpAddress('11.11.11.11')" />
    <security:intercept-url pattern="/**" access="isAuthenticated()" />
</security:http>

// ...

4. ライブテスト

ここで、すべてが正しく機能していることを確認するための簡単なライブテストを行います。

まず、ログイン後にすべてのユーザーがホームページにアクセスできることを確認します。

@Test
public void givenUser_whenGetHomePage_thenOK() {
    Response response = RestAssured.given().auth().form("john", "123")
      .get("http://localhost:8082/");

    assertEquals(200, response.getStatusCode());
    assertTrue(response.asString().contains("Welcome"));
}

次に、認証されたユーザーでさえ、IPがホワイトリストに登録されていない限り、「/foos」リソースにアクセスできないようにします。

@Test
public void givenUserWithWrongIP_whenGetFooById_thenForbidden() {
    Response response = RestAssured.given().auth().form("john", "123")
      .get("http://localhost:8082/foos/1");

    assertEquals(403, response.getStatusCode());
    assertTrue(response.asString().contains("Forbidden"));
}

「11.11.11.11」のユーザーのみがアクセスできるため、ローカルホスト「127.0.0.1」から「/foos」リソースにアクセスできないことに注意してください。

5. カスタムAuthenticationProviderを使用したホワイトリスト

最後に、カスタムAuthenticationProvider を構築して、IP範囲をホワイトリストに登録する方法を説明します。

hasIpAddress（）を使用してIP範囲をホワイトリストに登録する方法と、それを他の式と混合する方法を見てきました。ただし、さらにカスタマイズが必要な場合もあります。

次の例では、複数のIPアドレスがホワイトリストに登録されており、それらのIPアドレスのユーザーのみがシステムにログインできます。

@Component
public class CustomIpAuthenticationProvider implements AuthenticationProvider {
    
   Set<String> whitelist = new HashSet<String>();

    public CustomIpAuthenticationProvider() {
        whitelist.add("11.11.11.11");
        whitelist.add("12.12.12.12");
    }

    @Override
    public Authentication authenticate(Authentication auth) throws AuthenticationException {
        WebAuthenticationDetails details = (WebAuthenticationDetails) auth.getDetails();
        String userIp = details.getRemoteAddress();
        if(! whitelist.contains(userIp)){
            throw new BadCredentialsException("Invalid IP Address");
        }
        //...
}

次に、セキュリティ構成でCustomIpAuthenticationProviderを使用します。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomIpAuthenticationProvider authenticationProvider;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.authenticationProvider(authenticationProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
          .antMatchers("/login").permitAll()
          .anyRequest().authenticated()
          .and().formLogin().permitAll()
          .and().csrf().disable();
    }

}