No.33 取引金額 権限設定・403エラー

[Ta9m1-N]

概要

取引金額のCUD操作は管理者のみ可能だが、権限設定が無いため誰でも可能となっている。権限設定と403エラーハンドリングを追加する。

修正方針

security/WebSecurityConfigクラス内securityFilterChainメソッドのhttp.authorizeHttpRequests()内で権限によるアクセスの拒否設定を追加する。 ADMIN権限のないユーザーがアクセスしようとすると、特別にエラーハンドリングを設定しなくても403が出る。

タスクリスト

WebSecurityConfigでADMINユーザーのみアクセス許可設定

• [x] securityFilterChainメソッド内authorizeHttpRequests((requests) -> requests.\~)の\~部分に設定を追加
  • [x] .anyRequest().authenticated()の上に.requestMatchers(通信方法, "ページパス").hasRole("ADMIN")を制限する分追加
  • [x] 取引金額の作成を制限
    • [x] 通信方法：HttpMethod.POST、ページパス：/transactionAmounts
  • [x] 取引金額の編集を制限
    • [x] 通信方法：HttpMethod.PUT、ページパス：/transactionAmounts
  • [x] 取引金額の削除を制限
    • [x] 通信方法：HttpMethod.DELETE、ページパス：/transactionAmounts/{id}
  • [x] CSVファイルのアップロードを制限
    • [x] 通信方法：HttpMethod.POST、ページパス：/transactionAmounts/{c_id}/upload_csv
• [x] 動作確認
  • [x] userでログインしCUD操作時403エラーが出るか
  • [x] adminでログインしCUD操作時403エラーが出ないか

Issue 情報更新

• [x] 回答までのアプローチ
• [x] プロンプト履歴
• [x] PullRequest の紐付け

[Ta9m1-N]

回答までのアプローチ

ロール制御に関する記述のあるクラスを探し、securiity/WebSecurityConfigクラスのsecurityFilterChainメソッドを発見。authorizeHttpRequests以下の記述をプロンプトの回答をもとに変更し、ロール制御を実現した。

プロンプト履歴

https://chat.openai.com/share/14924a81-02c9-4012-b347-6832b334dd4a

参考サイト

https://spring.pleiades.io/spring-security/reference/servlet/authorization/authorize-http-requests.html