前置き
普段Goで遊んでいるのですが、久しぶりにJavaでアプリを作りたいと思いました。せっかくなら記述方法が大幅に変更されたSpringSecurityを使ってCSRF対策を行いたいと思い、今回SpringSecurityの記事を読み漁りました。
2023年以降にバージョンアップされて書き方が変わっているのでChat-GPTも対応していないかと思います(多分)。
忘れないためにもハンズオン形式で学習してみましょう。
目次
- CSRFとは
- ハンズオン
CSRFとは
「んなもん知ってるわボケ」という人は飛ばしてください。
1. Spring Security公式ページ
2. ITを分かりやすく解説
上記に詳しい説明が載っていますが簡単にまとめますと、「サイトAのセッション情報やらCookieの情報を悪用して第三者が他人に成りすまして不正なリクエストを送る」というものです。
ハンズオン
では実際にCSRF対策をSpringSecurityで行っていきましょう。
参考はこちら
まず最初にSpringBootアプリケーションを作成しましょう。
MavenでもGradleでもどちらでも構いません。
次に、MavenまたはGradleにSpringSecurityを使用する旨を書きましょう。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
dependencies {
implementation "org.springframework.boot:spring-boot-starter-security"
}
以上で、コードを書く準備が整いました。
MainController.java
次にリクエストの制御を行うMainControllerを作成していきます。
package com.example.demo;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/api")
public class MainController {
// CSRF対策をしていないPOSTメソッド
@PostMapping("/everybody")
public String postEverybody(){
return "hello everybody";
}
// CSRFトークンを発行して返すメソッド
@GetMapping("/getCsrf")
public CsrfToken getCsrfToken(CsrfToken csrfToken) {
return csrfToken;
}
// CSRF対策をしているPOSTメソッド
@PostMapping("/limitedUser")
public String postLoginUserHello() {
return "Hello loginUser";
}
}
SecurityConfig.java
次に今回使用するSprinSecurityの設定を記述するSecurityConfigを作成しましょう。
package com.example.demo;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity()
public class SecurityConfig {
// CSRF認証設定
@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{
http
.csrf(csrf -> csrf
.ignoringRequestMatchers(
"/api/everybody"
))
.authorizeHttpRequests(auth -> auth
.anyRequest().permitAll()
);
return http.build();
}
}
今回はCSRFの説明だけなので、.authorizeHttpRequests内の説明は省きます。
まず、.csrf()でCSRFの設定を行います。
基本的にPOST, PUT, DELETE, PATCHが対象のHTTPメソッドとなります。
理由は、上記以外のHTTPメソッドはアプリケーションの状態を変更するような処理を行わないからです。
csrf.ignoringRequestMatchers()内にはCSRFトークンを用いた認証を行わないリクエストを記入してあげます。こちらは","で複数のリクエストを記入することができます。
今回は"/api/everybody"へのリクエストはCSRFトークンの認証を行わないように設定します。
勘のいい方は気づいたかもしれませんが、ここに書かないリクエストは基本的にCSRFトークンを使用した認証が必要になります。
では実際にPostmanで検証していきましょう。
検証
アプリを実行して、最初に.ignoringRequestMatchers()内に記述した、"/api/everybody"にリクエストを送ってみましょう。
問題なく値が返ってきました。
"/api/everybody"のようなCSRFトークンの認証を使用しないケースとしては、ユーザーの登録やログインがあげられます。
次に、CSRFトークンの認証が必要な"/api/limitedUser"にリクエストを送ってみましょう。
403エラーが返ってきました。
簡単に言うとアクセス拒否のエラーです。
「あんたはおれが発行したCSRFトークンを持っていないからリクエストを無効にするぜ」という状況です。
では、リクエストの結果が欲しいので、先にCSRFトークンを受け取りましょう。
GETで"/api/getCsrf"にリクエストを送ります。
上記のようなデータが返ってきました。
"token": "~~~"が実際にサーバーから発行されたCSRFトークンとなります。
このCSRFトークンを使用して"/api/limitedUser"にリクエストを送ってみましょう。
"Headers"を選択し、左側のKeyに"X-CSRF-TOKEN"と入力します。その後、右側のValueに先ほど入手したCSRFトークンをコピペしてあげます。
では、"/api/limitedUser"にリクエストを送りましょう。
無事に結果が戻ってきました。
CSRFトークンの認証を使用するケースとしては、Amazonで例えると「カートに入れる」や「アカウント情報の変更」などの、特定のユーザーのみが行える処理があがります。
終わりに
今回紹介したのはCSRF対策の一部なので、もう少しカスタマイズしてみたい方はSpring Security公式ページを確認してみてください。
以上