Open Ta9m1-N opened 7 months ago
取引金額のCUD操作は管理者のみ可能だが、権限設定が無いため誰でも可能となっている。権限設定と403エラーハンドリングを追加する。
security/WebSecurityConfigクラス内securityFilterChainメソッドのhttp.authorizeHttpRequests()内で権限によるアクセスの拒否設定を追加する。 ADMIN権限のないユーザーがアクセスしようとすると、特別にエラーハンドリングを設定しなくても403が出る。
ロール制御に関する記述のあるクラスを探し、securiity/WebSecurityConfigクラスのsecurityFilterChainメソッドを発見。authorizeHttpRequests以下の記述をプロンプトの回答をもとに変更し、ロール制御を実現した。
https://chat.openai.com/share/14924a81-02c9-4012-b347-6832b334dd4a
https://spring.pleiades.io/spring-security/reference/servlet/authorization/authorize-http-requests.html
概要
取引金額のCUD操作は管理者のみ可能だが、権限設定が無いため誰でも可能となっている。権限設定と403エラーハンドリングを追加する。
修正方針
security/WebSecurityConfigクラス内securityFilterChainメソッドのhttp.authorizeHttpRequests()内で権限によるアクセスの拒否設定を追加する。 ADMIN権限のないユーザーがアクセスしようとすると、特別にエラーハンドリングを設定しなくても403が出る。
タスクリスト
WebSecurityConfigでADMINユーザーのみアクセス許可設定
Issue 情報更新