Spring Boot Security Best Practices is a security claude skill built by Affaan M. Best for: Backend developers securing Spring Boot microservices need comprehensive guidance on authentication, authorization, input validation, and preventing common vulnerabilities..

What it does
Implement authentication, authorization, validation, CSRF protection, secrets management, and security headers in Java Spring Boot applications.
Category
security
Created by
Affaan M
Last updated
Claude Skillsecurity GitHub-backed CuratedintermediateClaude Code

Spring Boot Security Best Practices

Implement authentication, authorization, validation, CSRF protection, secrets management, and security headers in Java Spring Boot applications.

Skill instructions

name: springboot-security description: Spring Security best practices for authn/authz, validation, CSRF, secrets, headers, rate limiting, and dependency security in Java Spring Boot services.

Spring Boot セキュリティレビュー

認証の追加、入力処理、エンドポイント作成、またはシークレット処理時に使用します。

認証

  • ステートレスJWTまたは失効リスト付き不透明トークンを優先
  • セッションには httpOnlySecureSameSite=Strict クッキーを使用
  • OncePerRequestFilter またはリソースサーバーでトークンを検証
@Component
public class JwtAuthFilter extends OncePerRequestFilter {
  private final JwtService jwtService;

  public JwtAuthFilter(JwtService jwtService) {
    this.jwtService = jwtService;
  }

  @Override
  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain) throws ServletException, IOException {
    String header = request.getHeader(HttpHeaders.AUTHORIZATION);
    if (header != null && header.startsWith("Bearer ")) {
      String token = header.substring(7);
      Authentication auth = jwtService.authenticate(token);
      SecurityContextHolder.getContext().setAuthentication(auth);
    }
    chain.doFilter(request, response);
  }
}

認可

  • メソッドセキュリティを有効化: @EnableMethodSecurity
  • @PreAuthorize("hasRole('ADMIN')") または @PreAuthorize("@authz.canEdit(#id)") を使用
  • デフォルトで拒否し、必要なスコープのみ公開

入力検証

  • @Valid を使用してコントローラーでBean Validationを使用
  • DTOに制約を適用: @NotBlank@Email@Size、カスタムバリデーター
  • レンダリング前にホワイトリストでHTMLをサニタイズ

SQLインジェクション防止

  • Spring Dataリポジトリまたはパラメータ化クエリを使用
  • ネイティブクエリには :param バインディングを使用し、文字列を連結しない

CSRF保護

  • ブラウザセッションアプリの場合はCSRFを有効にし、フォーム/ヘッダーにトークンを含める
  • Bearerトークンを使用する純粋なAPIの場合は、CSRFを無効にしてステートレス認証に依存
http
  .csrf(csrf -> csrf.disable())
  .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

シークレット管理

  • ソースコードにシークレットを含めない。環境変数またはvaultから読み込む
  • application.yml を認証情報から解放し、プレースホルダーを使用
  • トークンとDB認証情報を定期的にローテーション

セキュリティヘッダー

http
  .headers(headers -> headers
    .contentSecurityPolicy(csp -> csp
      .policyDirectives("default-src 'self'"))
    .frameOptions(HeadersConfigurer.FrameOptionsConfig::sameOrigin)
    .xssProtection(Customizer.withDefaults())
    .referrerPolicy(rp -> rp.policy(ReferrerPolicyHeaderWriter.ReferrerPolicy.NO_REFERRER)));

レート制限

  • 高コストなエンドポイントにBucket4jまたはゲートウェイレベルの制限を適用
  • バーストをログに記録してアラートを送信し、リトライヒント付きで429を返す

依存関係のセキュリティ

  • CIでOWASP Dependency Check / Snykを実行
  • Spring BootとSpring Securityをサポートされているバージョンに保つ
  • 既知のCVEでビルドを失敗させる

ロギングとPII

  • シークレット、トークン、パスワード、完全なPANデータをログに記録しない
  • 機密フィールドを編集し、構造化JSONロギングを使用

ファイルアップロード

  • サイズ、コンテンツタイプ、拡張子を検証
  • Webルート外に保存し、必要に応じてスキャン

リリース前チェックリスト

  • [ ] 認証トークンが正しく検証され、期限切れになっている
  • [ ] すべての機密パスに認可ガードがある
  • [ ] すべての入力が検証およびサニタイズされている
  • [ ] 文字列連結されたSQLがない
  • [ ] アプリケーションタイプに対してCSRF対策が正しい
  • [ ] シークレットが外部化され、コミットされていない
  • [ ] セキュリティヘッダーが設定されている
  • [ ] APIにレート制限がある
  • [ ] 依存関係がスキャンされ、最新である
  • [ ] ログに機密データがない

注意: デフォルトで拒否し、入力を検証し、最小権限を適用し、設定によるセキュリティを優先します。

View raw SKILL.md on GitHub

Use this skill

Most skills are portable instruction packages. Claude Code supports SKILL.md directly. Other agents can use adapted files like AGENTS.md, .cursorrules, and GEMINI.md.

Claude Code

Save SKILL.md into your Claude Skills folder, then restart Claude Code.

mkdir -p ~/.claude/skills/spring-boot-security-best-practices && curl -L "https://raw.githubusercontent.com/affaan-m/everything-claude-code/HEAD/docs/ja-JP/skills/springboot-security/SKILL.md" -o ~/.claude/skills/spring-boot-security-best-practices/SKILL.md

Installs to ~/.claude/skills/spring-boot-security-best-practices/SKILL.md.

Use cases

Backend developers securing Spring Boot microservices need comprehensive guidance on authentication, authorization, input validation, and preventing common vulnerabilities.

Reviews

No reviews yet. Be the first to review this skill.

No signup required

Stats

Installs0
GitHub Stars174.1k
Forks26970
LicenseMIT
UpdatedMar 27, 2026

Creator

A

Affaan M

@affaan-m

View on GitHub