カテゴリ: Spring認証(Spring Security) 更新日: 2025/12/07

ロールと権限の違いを完全解説!Spring Securityで学ぶアクセス制御の基本

ロールと権限の違い
ロールと権限の違い
新人と先輩の会話形式で理解しよう

新人

「Spring Securityを使ってアクセス制御したいんですが、ロールと権限の違いがよくわかりません…」

先輩

「確かに混乱しやすいポイントだね。でも、それぞれの役割を理解すると、アクセス制御がとても柔軟になるよ。」

新人

「どういう場面でロールと権限を使い分けるんですか?」

先輩

「それじゃあ、まずは基本の用語から確認していこうか!」

1. ロールと権限とは?(基本的な用語の意味と役割)

1. ロールと権限とは?(基本的な用語の意味と役割)
1. ロールと権限とは?(基本的な用語の意味と役割)

Spring Securityでは、ユーザーのアクセスを管理するためにロール(役割)権限(許可された操作)という2つの概念を使います。

ロール(Role)は、ユーザーに割り当てる大まかな役割を示します。たとえば、「管理者(ADMIN)」「一般ユーザー(USER)」「ゲスト(GUEST)」などがロールに該当します。

一方、権限(Authority)は、具体的な操作を許可するためのラベルです。たとえば、「ユーザー一覧の閲覧」「商品情報の編集」「ログ出力の確認」などの細かな機能に対して権限を与えます。

ロールは「役職」、権限は「その役職に与えられた行動の権利」と考えるとイメージしやすいでしょう。

Spring Securityでは、通常「ロール」はROLE_という接頭語が付きます。たとえば「ADMIN」というロールは、内部的にはROLE_ADMINとして認識されます。

Spring Security ロール制御の例:


http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/admin/**").hasRole("ADMIN")
    .anyRequest().authenticated()
);

一方で、権限を使う場合は次のように書きます:


http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/logs/**").hasAuthority("LOG_VIEW")
    .anyRequest().authenticated()
);

このように、ロールと権限はアクセス制御の設計において明確に使い分けることが重要です。

2. 認証と認可の関係とその中でのロール・権限の位置づけ

2. 認証と認可の関係とその中でのロール・権限の位置づけ
2. 認証と認可の関係とその中でのロール・権限の位置づけ

アクセス制御を理解する上で欠かせないのが、認証(Authentication)認可(Authorization)の違いです。

認証とは、「このユーザーが誰かを確認すること」であり、ログイン処理が該当します。

一方、認可とは「認証されたユーザーが何をできるかを制御すること」です。つまり、ユーザーがどのページにアクセスできるか、どの操作が許可されているかを決める仕組みです。

Spring Securityでは、この認可の過程でロールや権限が活躍します。

ユーザーがログインに成功すると、Authenticationオブジェクトにロールや権限が保持されます。そして、各リクエストの処理前にSpring Securityが「このURLはADMINロールを持つユーザーだけがアクセス可能」といったルールを判定するのです。

たとえば、次のように@Controllerでアクセス制御を設計した場合:


@Controller
public class AdminController {

    @GetMapping("/admin/dashboard")
    public String adminDashboard(Authentication authentication) {
        if (authentication.getAuthorities().stream()
                .anyMatch(a -> a.getAuthority().equals("ROLE_ADMIN"))) {
            return "admin/dashboard";
        } else {
            return "access-denied";
        }
    }
}

このコードでは、ログイン中のユーザーがROLE_ADMINを持っているかを判定し、持っていれば管理者ダッシュボードを表示し、それ以外は「アクセス拒否」ページを表示します。

このように、ロールと権限は認可処理の根幹に関わる重要な仕組みです。

また、アクセス権限の設定方法としては、SecurityConfigの中で一括定義する方法と、@Controller内で動的に制御する方法があります。

場面に応じて使い分けることで、セキュアで拡張性の高い設計が可能になります。

3. Spring Securityにおけるロールの使い方(hasRoleやhasAnyRoleの解説)

3. Spring Securityにおけるロールの使い方(hasRoleやhasAnyRoleの解説)
3. Spring Securityにおけるロールの使い方(hasRoleやhasAnyRoleの解説)

Spring Securityでロール制御を行うときに使われる代表的なメソッドが、hasRole()hasAnyRole()です。これらは特定のロールを持ったユーザーだけにURLや機能へのアクセスを許可するために使われます。

hasRole()は、ひとつのロールを持っているかどうかを判定します。内部的にはROLE_が自動的に付与される点が特徴です。


http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/admin/**").hasRole("ADMIN")
    .anyRequest().authenticated()
);

この例では、URLが/admin/から始まる場合、「ADMIN」というロールを持っているユーザーだけがアクセスできます。

複数のロールのうち、どれかひとつでも一致すれば許可したいときはhasAnyRole()を使います。


http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/manage/**").hasAnyRole("ADMIN", "MANAGER")
    .anyRequest().authenticated()
);

このように、hasRolehasAnyRoleを使うことで、ロールに応じた柔軟なアクセス制御が可能になります。

Spring Security ロール制御を行う際は、「どのロールがどの機能を利用できるか」を明確に設計することがポイントです。

4. Spring Securityにおける権限(Authority)の使い方(hasAuthorityの解説)

4. Spring Securityにおける権限(Authority)の使い方(hasAuthorityの解説)
4. Spring Securityにおける権限(Authority)の使い方(hasAuthorityの解説)

より細かい制御を行いたい場合には、権限管理を活用します。Spring SecurityではhasAuthority()メソッドを使って、権限をチェックすることができます。

権限(Authority)は、機能単位でのアクセス制限に向いています。たとえば、「商品を編集する」「注文をキャンセルする」など、具体的なアクションに対して設定するケースが多いです。

以下は、「LOG_VIEW」という権限を持つユーザーだけがアクセスできるようにする設定例です。


http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/logs/**").hasAuthority("LOG_VIEW")
    .anyRequest().authenticated()
);

hasAuthority()は、ROLE_の接頭語が不要であることに注意しましょう。権限はロールとは別の独立したラベルとして扱われます。

また、複数の権限のうち、どれかひとつでも一致すれば許可したい場合にはhasAnyAuthority()を使用します。


http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/reports/**").hasAnyAuthority("REPORT_VIEW", "REPORT_DOWNLOAD")
    .anyRequest().authenticated()
);

このように、権限管理はロールよりもさらに細かい単位でアクセス制御を実現できます。Spring Security 権限管理を導入することで、システムのセキュリティを高めつつ、柔軟な機能制御が可能になります。

5. ロールと権限を使い分ける設計パターン

5. ロールと権限を使い分ける設計パターン
5. ロールと権限を使い分ける設計パターン

最後に、ロールと権限をどうやって使い分けるかという設計の考え方について紹介します。

ロールは「ユーザーの役割」を定義する大まかな単位であり、権限はそのロールに紐づく「機能単位の操作許可」を表します。

たとえば以下のような構成にすることで、アクセス制御がシンプルで保守しやすくなります。

  • ADMINロール: USER_MANAGE, LOG_VIEW, SYSTEM_CONFIG
  • USERロール: PROFILE_VIEW, ORDER_CREATE

このように、ロールは「権限のセット」として定義し、実際のアクセス制御では権限ベースで処理を行うと柔軟な管理が可能になります。

Spring Securityでは、カスタムのUserDetailsServiceを実装することで、ロールに対応する権限の一覧をユーザーごとに設定できます。

以下は、ユーザーごとにロールから権限を付与する一例です。


public class CustomUserDetails implements UserDetails {

    private final User user;

    public CustomUserDetails(User user) {
        this.user = user;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> authorities = new ArrayList<>();

        if ("ADMIN".equals(user.getRole())) {
            authorities.add(new SimpleGrantedAuthority("USER_MANAGE"));
            authorities.add(new SimpleGrantedAuthority("LOG_VIEW"));
        } else if ("USER".equals(user.getRole())) {
            authorities.add(new SimpleGrantedAuthority("PROFILE_VIEW"));
        }

        return authorities;
    }

    // 他のメソッド省略
}

このようにして、ロールに応じて動的に権限を割り当てる設計にすることで、変更や追加に強い構成が実現できます。

Spring Security アクセス制御を設計する際は、「ロール=役割」「権限=機能許可」として明確に使い分けることが重要です。

6. よくあるロール・権限設定ミスと403エラーの原因

6. よくあるロール・権限設定ミスと403エラーの原因
6. よくあるロール・権限設定ミスと403エラーの原因

Spring Securityを使ったアクセス制御で、初心者が最もよく直面するのが403 Forbidden エラーです。これは「ログインは成功しているけど、その機能を使う権限がない」ときに発生します。

たとえば、ロール名の指定ミスによって認可が通らないケースがあります。

間違いやすい例:


// NG例:ROLE_を付けてしまう
http.authorizeHttpRequests(authz -> authz
    .requestMatchers("/admin/**").hasRole("ROLE_ADMIN") // ← これはエラーになる
    .anyRequest().authenticated()
);

hasRole("ADMIN")と書くだけで、Spring Securityが内部でROLE_を補ってくれる仕組みになっています。ですので、自分でROLE_を付けてしまうと一致せず、結果として403エラーになります。

また、ユーザーにロールや権限が付与されていないのに、それを前提として制御をかけてしまうケースもよくあります。

データベースのユーザーテーブルにロールが登録されていなかったり、UserDetailsの実装でgetAuthorities()が空のままだったりすると、ログインできても何の機能にもアクセスできず、403 Forbiddenが連発します。

さらに、URLパターンの記述ミスも要注意です。たとえば/admin/**/admin/*としてしまうと、サブパスまではマッチせず意図した制御ができなくなります。

本番環境でのSpring Security 本番運用においては、403エラーが頻発するとユーザー体験に大きく影響します。必ず事前に正しいロールや権限が付与されていることを確認し、ミスを防ぎましょう。

7. 実務で使えるロール・権限設計のベストプラクティス

7. 実務で使えるロール・権限設計のベストプラクティス
7. 実務で使えるロール・権限設計のベストプラクティス

実務では、ロールと権限の設計がシステムの保守性に直結します。ここでは初心者でもすぐに実践できるセキュリティ設計のコツを紹介します。

1.ロールは「役割」、権限は「行動単位」で設計する

たとえば、以下のように設計します。

  • ロール:ADMIN、USER、STAFF
  • 権限:USER_CREATE、USER_UPDATE、REPORT_VIEW、ORDER_MANAGE

このように、ロールが権限をまとめる単位になることで、権限の追加・削除を柔軟に行えるようになります。

2.変更に強い構成を意識する

将来的に機能が増えることを考慮し、コントローラ側のコードで権限名をhasAuthority()で細かく管理し、ロールにはあまり依存しないようにします。


@GetMapping("/admin/user/create")
public String createUserForm(Authentication auth) {
    boolean hasPermission = auth.getAuthorities().stream()
        .anyMatch(a -> a.getAuthority().equals("USER_CREATE"));
    if (hasPermission) {
        return "admin/create-user";
    } else {
        return "access-denied";
    }
}

3.データベースにロールと権限を分けて保存する

多くの実務プロジェクトでは、「users」「roles」「permissions」などのテーブルを分けて設計し、ロールと権限を多対多で関連付ける方法が採用されています。

これにより、たとえば「STAFF」ロールにはREPORT_VIEWのみを、「ADMIN」ロールには全権限を、というような柔軟な制御が可能になります。

4.一覧管理しやすい形式で設定を残す

どのロールにどの権限があるかをスプレッドシートや設計書で一覧化しておくと、開発者間での認識のズレが減り、バグの防止にもつながります。

8. セキュリティ設計におけるロールと権限の棲み分けの考え方

8. セキュリティ設計におけるロールと権限の棲み分けの考え方
8. セキュリティ設計におけるロールと権限の棲み分けの考え方

最後に、システム全体のセキュリティ設計において、ロールと権限をどう位置づけるかという観点を整理します。

ロールはビジネス上の「立場」に対応する

管理者、編集者、閲覧者といった役割をロールで管理することで、ユーザー管理が視覚的にわかりやすくなります。社内の階層構造とロールを紐づけると、権限設定の説明もしやすくなります。

権限は機能や処理単位に分ける

「注文作成」「注文編集」「商品削除」など、操作ごとに細かくラベルをつけることで、ユーザーに許可する範囲を柔軟にコントロールできます。

アクセス制御の可視化が重要

開発が進むと、どのページに誰がアクセスできるのかがわかりにくくなることがあります。そのため、URL単位でのアクセス制御ルールを表や図で整理しておくことが本番運用では特に重要です。

Spring Security 本番運用では、万が一のトラブルに備えて、403 Forbidden エラー対策としてカスタムのエラーページや、アクセスログ出力の仕組みを組み込むこともおすすめです。

Spring Securityのロールと権限は、機能を守る「鍵」のようなものです。正しく設計すれば、安全かつ効率的なシステム運用が実現できます。ぜひ今回学んだ考え方を、自分のプロジェクトでも活かしてみてください。

まとめ

まとめ
まとめ

ここまで、Spring Securityにおけるロールと権限の違い、そしてそれぞれがアクセス制御の中でどのように機能するのかを詳しく見てきました。実際の開発現場では、ユーザーごとの立場に合わせて細かく操作を制御する必要があり、そのために用意された仕組みがロールと権限です。ふだん業務で目にしている管理画面や設定画面の裏側では、こうした仕組みが地道に働き、必要な人に必要な機能だけが提供されるよう調整されています。 設計の際に大切なのは、「ロール=立場を表す大枠」「権限=具体的な操作」と明確に切り分けて扱うことです。このふたつを丁寧に設計すれば、利用者が増えても複雑な機能が増えても混乱しにくく、保守しやすい構成になります。特に実務でよくある変更として、「新しい権限を追加したい」「一部のユーザーだけに操作権限を与えたい」といった要望がありますが、権限を細かく分けておくと影響範囲が小さく済むため、後々の変更にも強い構成になります。 また、403エラーの多くはロール名や権限名の誤り、あるいはユーザーに適切な権限が割り当てられていないことが原因です。開発中は挙動を確認しながら、ロールと権限の設定が正しいかこまめにチェックする習慣をつくると安心です。 さらに、ロールと権限を柔軟に扱うには、SecurityConfigだけでなく、UserDetailsServiceやUserDetailsを組み合わせてコントロールすることも重要です。そこで、以下に今回の内容を踏まえたサンプルコードをひとつまとめておきます。設計時の検討材料として参考になるはずです。

ロールと権限を組み合わせたサンプルコード


package com.example.security;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        http.authorizeHttpRequests(authz -> authz
            .requestMatchers("/admin/**").hasRole("ADMIN")
            .requestMatchers("/logs/**").hasAuthority("LOG_VIEW")
            .requestMatchers("/manage/**").hasAnyRole("ADMIN", "MANAGER")
            .anyRequest().authenticated()
        );

        return http.build();
    }
}

このサンプルのように、ロールと権限を併用することで、ページ単位でのアクセス制御からアクション単位での細かな制御まで、幅広く対応できます。ロールを大きな枠として捉え、その中に複数の権限を束ねるように設計すれば、システムが成長したときにも柔軟に対応できるでしょう。 最後にもう一度整理すると、ロールは利用者の立場をわかりやすく区別するための「分類」、権限は実際に実行できる操作を定義する「許可」。このふたつがうまく噛み合うことで、Spring Securityのアクセス制御はスムーズに動作します。今回の内容を自分のアプリケーションに照らし合わせ、どのようにロールと権限を構成すると管理しやすくなるか、ぜひ実際の画面や要件に合わせて検討してみてください。

先生と生徒の振り返り会話

生徒:きょう学んだロールと権限の違いが少しずつ整理できてきました。特にロールが役割で、権限が具体的な操作だという考え方がすごく分かりやすかったです。

先生:その理解はとても大事だよ。ロールを増やすよりも権限を細かく管理したほうが、あとから変更しやすいという場面はよくあるんだ。

生徒:403エラーの原因も、ロール名の書き方ひとつで変わるんだと知って驚きました。hasRoleのときにROLE_を付けてはいけない理由も、やっと納得できました。

先生:そうそう。細かいけれど重要なポイントだから覚えておくと安心だね。実際の開発では、テーブル構成や権限の数が増えてくると間違いも起きやすいからね。

生徒:ロールと権限は本当にシステムの要なんですね。今回のまとめとサンプルコードを見ながら、自分のプロジェクトの設計も見直してみます。

先生:いい心がけだよ。アクセス制御は地味だけど、とても大切な基盤だから、じっくり理解して実践していこう。

この記事を読んだ人からの質問

この記事を読んだ人からの質問
この記事を読んだ人からの質問

プログラミング初心者からのよくある疑問/質問を解決します

Spring Securityでロールと権限は何が違うのですか?

ロールはユーザーの役割(例:管理者や一般ユーザー)を表し、権限はそのロールに紐づく具体的な操作や機能への許可を指します。役職と職務の関係に似ています。
コメント
コメント投稿は、ログインしてください

まだ口コミはありません。

関連記事:
ユーザーごとのアクセス制御の基本 | ユーザーごとのアクセス制御の基本を完全解説!Spring Securityで実現する認可の仕組み
Spring Securityのデフォルトのアクセス制御の仕組み | Spring Securityのデフォルトのアクセス制御の仕組みを完全解説!初心者でもわかるセキュリティの基本
カテゴリの一覧へ
新着記事
New1
SpringのWeb開発(Spring MVC)
Spring MVCルーティングの基本(ワイルドカード / パス変数)
Spring MVCルーティングの基本を完全解説!ワイルドカードとパス変数を初心者向けにやさしく理解
New2
SpringのWeb開発(Spring MVC)
ViewResolverの設定と使い方
ViewResolverの設定と使い方を完全ガイド!初心者でもわかるSpring MVCのビュー解決
New3
Thymeleaf
Thymeleaf th属性の種類まとめ!初心者向けに解説
Thymeleaf th属性の種類まとめ!初心者向けに解説
New4
Thymeleaf
Thymeleaf 公式ドキュメントの活用法とおすすめ情報
初心者向けにThymeleaf 公式ドキュメントの活用法とおすすめ情報
人気記事
No.1
Java&Spring記事人気No1
SpringのWeb開発(Spring MVC)
ルーティングとは?基本概念(Spring MVCのURL制御を理解)
ルーティングとは?基本概念(Spring MVCのURL制御を理解)
No.2
Java&Spring記事人気No2
Thymeleaf
Thymeleaf とは?初心者向けにThymeleafの基本を徹底解説
Thymeleaf とは?初心者向けにThymeleafの基本を徹底解説
No.3
Java&Spring記事人気No3
Springの基本
application.properties と YAML の基本
application.properties と YAML の基本をやさしく解説!初心者向けSpring Boot設定ファイル入門
No.4
Java&Spring記事人気No4
Springの基本
Spring Bootの環境変数の設定
Spring Bootの環境変数の設定方法をやさしく解説!初心者向けapplication.propertiesの使い方
No.5
Java&Spring記事人気No5
SpringのDB操作
JPAの標準クエリメソッド(findById, findAll)
JPAの標準クエリメソッド(findById, findAll)を完全解説!初心者でもわかるデータ取得の基本
No.6
Java&Spring記事人気No6
Springの基本
Spring Bootのデフォルトログ設定を徹底解説(Logback / SLF4J)
Spring Bootのデフォルトログ設定を徹底解説(Logback / SLF4J)
No.7
Java&Spring記事人気No7
Spring認証(Spring Security)
セッション管理の基本(@SessionAttributes)
セッション管理の基本(@SessionAttributes)を完全解説!初心者でもわかるセッションの仕組み
No.8
Java&Spring記事人気No8
SpringのWeb開発(Spring MVC)
ループ処理(th:each)の基本
ループ処理(th:each)の基本を完全ガイド!Thymeafの繰り返し処理の使い方