6.4.1 ExceptionTranslationFilter

ExceptionTranslationFilterはSpring Securityが提供するフィルタで、〔認証プロセスの中で〕スローされるSpring Security例外を検知するものです。これらの例外はふつう、認証サービスの主な提供者となるAbstractSecurityInterceptorの実装によりスローされます。AbstractSecurityInterceptorについては次節で取り上げるとして、ここでは、それがJava例外を生成するということ、そしてまた一方ではそれがHTTPやプリンシパルの認証方法について何ら関知しないことを理解していれば十分です。後者についてはExceptionTranslationFilterの仕事です。フィルタは、エラー・コード403を返すか（プリンシパルがすでに認証されているものの、アクセス権限が十分でないケース──前述のステップ7で言及されているもの）、そうでなければAuthenticationEntryPointを起動します（プリンシパルはまだ認証されていないので、前述のステップ3を開始する必要があります）。

6.4.2 AuthenticationEntryPoint

AuthenticationEntryPointは前述のステップ3を担当します。ご想像できることと思いますが、それぞれのWebアプリケーションにはデフォルトの認証戦略があります。（もちろんSpring Securityではその他のほとんどすべての事項についてカスタマイズができますが、ここでの説明は簡潔にしておきましょう。）それぞれのメジャーな認証システムに対応したAuthenticationEntryPoint実装が用意されています。これらはたいていステップ3で言及した種々のアクションのうちどれかを実行します。

6.4.3 認証メカニズム

ブラウザがあなたの認証情報を（フォーム入力内容のPOST送信やHTTPヘッダ情報によって）送信すると、サーバ側では認証情報をかき集めて何ごとかする必要があります。いま私たちは前述のステップのなかの6番目にいます。Spring Securityでは、ユーザ・エージェント（いわゆるWebブラウザ）から認証情報を受け取る機能に“認証メカニズム”〔authentication mechanism〕という特別な名前を付けています。例えば、フォーム・ベースの認証とBASIC認証ですが、まずユーザ・エージェントから送られた認証データを受け取ると、Authentication“リクエスト”オブジェクトを生成して、AuthenticationManagerに渡します。

もしリクエストが正しいものであれば、十全な情報を設定されたAuthenticationオブジェクトが返却されます。認証メカニズムは、受け取ったAuthenticationオブジェクトをSecurityContextHolderのなかに格納します。そしてその状態でもともとのリクエストが再試行させます。（ステップ7です。）

6.4.4 リクエスト間でSecurityContextを保存する

アプリケーションタイプによりけりですが、セキュリティ・コンテキストをユーザの操作と操作の間で保存しておく戦略が必要になることがあります。典型的なWebアプリケーションでは、ユーザが一度ログインすると、以後はセッションIDによって識別されるようになります。セッションの継続中、サーバはプリンシパルの情報を保持しつづけます。Spring Securityでは、SecurityContextをリクエストとリクエストの間で保存しておく役割はSecurityContextPersistenceFilterに期待されています。このインターフェースのデフォルト実装は、あるHTTPリクエストと続くそれの間、HttpSession の属性としてセキュリティ・コンテキストを保存します。フィルタはリクエストのたびSecurityContextHolderの中にSecurityContextを復元し、そして──ここが重要なところなのですが──リクエストが完了するとSecurityContextHolderの内容はクリアされます。セキュリティのためにHttpSessionオブジェクトに直接働きかけてはいけません。そのようなことをする理由はどこにもありません。いつでもSecurityContextHolderを介してセキュリティ・コンテキストにアクセスしてください。

その他の多くのアプリケーションでは（例えば、ステートレスなRESTful Webサービスとか）、HTTPセッションは使用せず、リクエストのあるごとに再度認証を行うでしょう。この場合にも依然として重要なことは、リクエストのたび確実にSecurityContextHolderをクリアする処理の連鎖のなかにSecurityContextPersistenceFilterが組み込まれていることです。

ノート

ひとつのセッションのなかで並列リクエストを受け取るアプリケーションの場合、同じSecurityContextインスタンスがスレッド間で共有されます。ここでもThreadLocalは使用されていますが、これはそれぞれのスレッドのためにHttpSessionから取得された同一のインスタンスです。このことから、もしあなたがセキュリティ・コンテキストを実行中のスレッドから一時的に変更しようと考えているとき、どのようなことがおこるでしょうか。もしあなたがSecurityContextHolder.getContext()メソッドを使用し、返却されたコンテキストのsetAuthentication(anAuthentication)メソッドをコールしたとき、Authenticationオブジェクトは、同じSecurityContextインスタンスを共有するすべての並列スレッドにおいて変化します。これに対して、あるスレッドでの変更がほかに波及するのを防ぐため、リクエストのたびに完全に新たなSecurityContextを生成するようSecurityContextPersistenceFilterをカスタマイズすることもできます。また別の方法としては、一時的にコンテキストを変更するまさにその場で、〔共有された既存のインスタンスを変更するのではなく〕新規インスタンスを作成することもできます。SecurityContextHolder.createEmptyContext()メソッドはいつでも新しいコンテキスト・インスタンスを返します。

6.5.1 セキュリティとAOPアドバイス

もしAOPを使ったことがあるなら、使用可能な“アドバイス”の、互いに異なるいくつかの型についてもご存じでしょう：“ビフォア”〔before〕、“アフター”〔after〕、“スロウズ”〔throws〕、そして“アラウンド”〔around〕です。なかでもメソッドの実行の如何、返却値の修正の如何、そして例外スロー実施の如何までも制御できるために、アラウンド・アドバイスはもっとも使いやすいアドバイスです。Spring Securityではメソッド実行だけでなくWebリクエストのためにもこのアラウンド・アドバイスが提供されています。Spring標準のAOPサポートによりメソッド実行に対してアラウンド・アドバイスを適用することも、標準のフィルタを用いてWebリクエストに対してアラウンド・アドバイスを適用することもできるのです。〔つまり、ユーザの認証状態と権限付与状態に基づきメソッド実行の可否等を制御したり、特定のWebサイト・リソースへのアクセスを制御したりできる、ということ。〕

AOPを使ったことのない方にとっての理解の鍵は、Spring Securityはメソッド実行だけでなく、Webリクエストもまた保護することもまたできる〔ユーザの認証状態・権限付与状態に基づいてその操作の可否を制御できる〕、ということです。ほとんどの人はサービス・レイヤにおける保護されたメソッド実行について興味があるでしょう。これはサービス・レイヤが、今日のJ2EEアプリケーションにおいてビジネス・ロジックがもっぱら存在する場所であるからです。もしサービス・レイヤにおいて保護されたメソッド実行が必要なら、Springの標準AOPが適当でしょう。またもし直接に保護されたドメイン・オブジェクトが必要なら、AspectJの使用も検討してみるべきでしょう。

あなたはAspectJもしくはSpring AOPを用いることでメソッド権限制御を行ったり、フィルタを用いてWebリクエストの権限制御を行ったりすることができます。いずれのアプローチも用いないこともあれば、1つ、2つ、あるいは3つのアプローチを組み合わせ用いることもあるでしょう。Webリクエスト権限制御を実行する場合、主流となっているのはSpring AOPによるサービス・レイヤにおけるメソッド実行権限制御を組み合わせて使う方法です。

6.5.2 保護されたオブジェクトとAbstractSecurityInterceptor

そもそも“保護されたオブジェクト”〔secure object〕とは一体何なのでしょうか？　Spring Securityではこの言葉を、セキュリティ（権限判定のような）が適用されたあらゆるオブジェクトを指すものとして使用しています。もっとも一般的な例としてはメソッド実行やWebリクエストです。

いずれの保護されたオブジェクトのタイプも、AbstractSecurityInterceptorのサブクラスとしてそれぞれに特化したインターセプター・クラスを持っています。重要なことは、AbstractSecurityInterceptorがコールされたとき、SecurityContextHolderにはプリンシパルがすでに認証されていれば正しいAuthentication オブジェクトが格納されているということです。

AbstractSecurityInterceptorは保護されたオブジェクトへのアクセス要求に対して一貫したワークフローを提供します。典型的なフローは：

1. 現在のリクエストに紐づけられた設定属性〔configuration attributes〕を調べます。
2. 権限判定のため、保護されたオブジェクト、現在のAuthenticationオブジェクト、そして設定属性をAccessDecisionManagerに渡します。
3. 必要に応じてAuthenticationオブジェクトの内容が変更されます。
4. 保護されたオブジェクトへのアクセスが許可されます。（権限が付与されるなど。）
5. アクセスが終わると、もしあらかじめ設定されていればAfterInvocationManagerがコールされます。もし保護されたオブジェクトへのアクセス中に例外がスローされた場合には、AfterInvocationManagerはコールされません。

〔訳注：ここでは“オブジェクト”と“インヴォケーション”という語が特殊な意味で用いられています。“オブジェクト”はJavaクラスやインスタンスのことを指しているのではなく、ましてや現実世界における“もの”を表しているのでもありません。あるユーザの操作、あるクライアントからのリクエストの対象（目的）となる機能やリソースなどを全般的に指すための抽象的な概念です。“インヴォケーション”はそうした“オブジェクト”にアクセスし、使用し、実行することを指す抽象的な概念です。〕

設定属性とは何か？

“設定属性”〔configuration attribute〕はAbstractSecurityInterceptor で使用されるクラス中で特殊な意味を持った文字列のことです。フレームワークのなかでこれらの情報はConfigAttribute インターフェースにより表されます。それは単純なロール名のこともあるでしょうし、AccessDecisionManagerの実装の高度さに応じてもっと複雑な意味を持つ情報のこともあるでしょう。AbstractSecurityInterceptor はSecurityMetadataSource ──SecurityMetadataSourceは保護されたオブジェクトについての属性情報を参照するのに使用──とともに事前に設定されます。ふつうこの設定情報はユーザからは秘匿されます。設定属性は保護されたメソッドへのアノテーションによって定義されることもあれば、保護されたURLへのアクセス属性として定義されることもあります。例えば、名前空間の導入の解説で触れた <intercept-url pattern='/secure/**' access='ROLE_A,ROLE_B'/> のようなものですが、ここでは指定されたパターンにマッチするWebリソースへのリクエストに、ROLE_AとROLE_Bが適用されています。これは、デフォルトのAccessDecisionManager 実装の設定では、2つの属性値のうちいずれかに該当するGrantedAuthority を持っているユーザは誰であれ、このURLにアクセスできるということを意味します。とはいえ厳密に言えば、個々の属性値〔その取り得る値〕と解釈はすべてAccessDecisionManagerの実装次第です。ROLE_接頭辞はそれらがロールであること、そしてSpring SecurityのRoleVoterオブジェクトにより処理されるものであることを示すマーカです。これはVoterベースのAccessDecisionManager実装を使用するときにのみ関連してくる事項です。権限付与のチャプターでは、AccessDecisionManagerがどのように実装されているかを知ることができます。

RunAsManager

AccessDecisionManagerがリクエストを許可すると、AbstractSecurityInterceptorはたいていリクエストの処理をそのまま進めます。これに関して稀なケースではありますが、SecurityContextに格納されたAuthenticationインスタンスを別のインスタンスに置き換える必要があることもあるでしょう。これはAccessDecisionManagerがRunAsManagerをコールすることで処理されます。サービス・レイヤのメソッドがリモート・システムを呼び出す際に異なるユーザ同定情報を渡す必要があるというような、特別な理由のある状況では便利です。Spring Securityはセキュリティ・アイデンティティをあるサーバから別のサーバへと自動的に伝搬させるため（適切に事前設定されたRMI〔遠隔メソッド実行〕やHttpInvokerの遠隔プロトコル・クライアントの使用を想定しています）、この仕組みは役立つはずです。

AfterInvocationManager

保護されたオブジェクトの実行へと進み、それが終わった後──つまりメソッド実行が完了するかフィルタ・チェーンが進むかしたとき──AbstractSecurityInterceptorは実行制御のための最後の機会を得ることになります。このステージで、AbstractSecurityInterceptorは返却されるオブジェクトに対する修正を企てることができます。権限付与の判定は保護されたオブジェクトの実行の途中で行うこと〔つまり、より細かい単位での権限制御を行うこと〕ができないことからこうした処理が必要になることがあります。高度な拡張性を実現するため、AbstractSecurityInterceptorは必要に応じて対象を修正する処理をAfterInvocationManagerに委譲します。このクラスは対象オブジェクトを完全に置き換えてしまったり、例外をスローしたり、あるいはいかなる変更も加えずおいたりすることができます。実行後のチェックは保護されたオブジェクトの実行が成功したときにのみ行われます。もし例外が発生したら、このチェックはスキップされます。

AbstractSecurityInterceptorとこれに関連するオブジェクトは、図6.1 「セキュリティ・インターセプタと“保護されたオブジェクト”のモデル」に示される通りです。

保護されたオブジェクトのモデルを拡張する

リクエストをインターセプトし、権限付与する方法をまったく新たに実装することを検討している開発者の方は、この保護されたオブジェクトのモデルを直接使用する必要があるでしょう。例えば、メッセージング・システムのための安全な〔メソッドやサービスの〕呼び出しを行う保護されたオブジェクトを新しく構築するといったことが可能でしょう。およそセキュリティを要求し、（AOPのアラウンド・アドバイスが動作するように）メソッド呼び出しをインターセプトする方法を提供するものは、いずれも保護されたオブジェクトになることができます。とはいえ、ほとんどのSpringアプリケーションは単純に既存の保護されたオブジェクトの型（AOPアライアンスのMethodInvocation、AspectJのJoinPoint、そしてWebリクエストのFilterInvocation）を完全な透過性のもとで使用しています。