ChatHub — Use GPT-4, Gemini, Claude 3.5 and more chatbots side-by-side認証
アプリケーションのデータを保護するためには認証の理解が不可欠です。このページでは、認証を実装するために使用すべきReactとNext.jsの機能について説明します。
始める前に、このプロセスを3つの概念に分解すると理解しやすくなります:
- 認証: ユーザーが本人であることを確認します。ユーザー名とパスワードなど、ユーザーが持っているものを使用してIDを証明する必要があります。
- セッション管理: リクエスト間でユーザーの認証状態を追跡します。
- 認可: ユーザーがアクセスできるルートとデータを決定します。
この図はReactとNext.jsの機能を使用した認証フローを示しています:
このページの例では、教育目的で基本的なユーザー名とパスワードによる認証について説明します。カスタム認証ソリューションを実装することもできますが、セキュリティの強化と簡素化のために、認証ライブラリの使用をお勧めします。これらのライブラリは、認証、セッション管理、認可のための組み込みソリューションに加えて、ソーシャルログイン、多要素認証、ロールベースのアクセス制御などの追加機能も提供しています。認証ライブラリセクションでリストを確認できます。
認証
サインアップとログイン機能
Reactの<form>要素とReactのServer ActionsおよびuseActionStateを使用して、ユーザーの認証情報をキャプチャし、フォームフィールドを検証し、認証プロバイダーのAPIまたはデータベースを呼び出すことができます。
Server Actionsは常にサーバー上で実行されるため、認証ロジックを処理するための安全な環境を提供します。
サインアップ/ログイン機能を実装するためのステップは次のとおりです:
1. ユーザー認証情報のキャプチャ
ユーザー認証情報をキャプチャするには、送信時にServer Actionを呼び出すフォームを作成します。例えば、ユーザーの名前、メール、パスワードを受け付けるサインアップフォーム:
import { signup } from '@/app/actions/auth'
export function SignupForm() {
return (
<form action={signup}>
<div>
<label htmlFor="name">Name</label>
<input id="name" name="name" placeholder="Name" />
</div>
<div>
<label htmlFor="email">Email</label>
<input id="email" name="email" type="email" placeholder="Email" />
</div>
<div>
<label htmlFor="password">Password</label>
<input id="password" name="password" type="password" />
</div>
<button type="submit">Sign Up</button>
</form>
)
}export async function signup(formData: FormData) {}2. フォームフィールドのサーバー上での検証
Server Actionを使用して、サーバー上でフォームフィールドを検証します。認証プロバイダーがフォーム検証を提供していない場合は、ZodやYupなどのスキーマ検証ライブラリを使用できます。
Zodを例として使用すると、適切なエラーメッセージを含むフォームスキーマを定義できます:
import { z } from 'zod'
export const SignupFormSchema = z.object({
name: z
.string()
.min(2, { message: 'Name must be at least 2 characters long.' })
.trim(),
email: z.string().email({ message: 'Please enter a valid email.' }).trim(),
password: z
.string()
.min(8, { message: 'Be at least 8 characters long' })
.regex(/[a-zA-Z]/, { message: 'Contain at least one letter.' })
.regex(/[0-9]/, { message: 'Contain at least one number.' })
.regex(/[^a-zA-Z0-9]/, {
message: 'Contain at least one special character.',
})
.trim(),
})
export type FormState =
| {
errors?: {
name?: string[]
email?: string[]
password?: string[]
}
message?: string
}
| undefined認証プロバイダーのAPIやデータベースへの不要な呼び出しを防ぐために、フォームフィールドが定義されたスキーマと一致しない場合は、Server Actionで早期にreturnすることができます。
import { SignupFormSchema, FormState } from '@/app/lib/definitions'
export async function signup(state: FormState, formData: FormData) {
// Validate form fields
const validatedFields = SignupFormSchema.safeParse({
name: formData.get('name'),
email: formData.get('email'),
password: formData.get('password'),
})
// If any form fields are invalid, return early
if (!validatedFields.success) {
return {
errors: validatedFields.error.flatten().fieldErrors,
}
}
// Call the provider or db to create a user...
}<SignupForm />に戻り、ReactのuseActionStateフックを使用して、フォームの送信中に検証エラーを表示できます:
'use client'
import { signup } from '@/app/actions/auth'
import { useActionState } from 'react'
export default function SignupForm() {
const [state, action, pending] = useActionState(signup, undefined)
return (
<form action={action}>
<div>
<label htmlFor="name">Name</label>
<input id="name" name="name" placeholder="Name" />
</div>
{state?.errors?.name && <p>{state.errors.name}</p>}
<div>
<label htmlFor="email">Email</label>
<input id="email" name="email" placeholder="Email" />
</div>
{state?.errors?.email && <p>{state.errors.email}</p>}
<div>
<label htmlFor="password">Password</label>
<input id="password" name="password" type="password" />
</div>
{state?.errors?.password && (
<div>
<p>Password must:</p>
<ul>
{state.errors.password.map((error) => (
<li key={error}>- {error}</li>
))}
</ul>
</div>
)}
<button disabled={pending} type="submit">
Sign Up
</button>
</form>
)
}補足:
- React 19では、
useFormStatusは返されるオブジェクトにdata、method、actionなどの追加キーが含まれています。React 19を使用していない場合は、pendingキーのみが利用可能です。- データを変更する前に、ユーザーがそのアクションを実行する権限を持っていることを常に確認する必要があります。認証と認可を参照してください。
3. ユーザーの作成またはユーザー認証情報の確認
フォームフィールドを検証した後、認証プロバイダーのAPIやデータベースを呼び出して、新しいユーザーアカウントを作成するか、ユーザーが存在するかを確認できます。
前の例から続けると:
export async function signup(state: FormState, formData: FormData) {
// 1. Validate form fields
// ...
// 2. Prepare data for insertion into database
const { name, email, password } = validatedFields.data
// e.g. Hash the user's password before storing it
const hashedPassword = await bcrypt.hash(password, 10)
// 3. Insert the user into the database or call an Auth Library's API
const data = await db
.insert(users)
.values({
name,
email,
password: hashedPassword,
})
.returning({ id: users.id })
const user = data[0]
if (!user) {
return {
message: 'An error occurred while creating your account.',
}
}
// TODO:
// 4. Create user session
// 5. Redirect user
}ユーザーアカウントを正常に作成した後、またはユーザーの認証情報を確認した後、ユーザーの認証状態を管理するためのセッションを作成できます。セッション管理戦略に応じて、セッションはクッキーやデータベース、あるいはその両方に保存できます。詳細はセッション管理セクションを参照してください。
ヒント:
- 上記の例は教育目的で認証ステップを詳細に説明しているため冗長になっています。これは、独自のセキュアなソリューションを実装することが急速に複雑になる可能性があることを強調しています。プロセスを簡素化するために認証ライブラリの使用を検討してください。
- ユーザー体験を向上させるため、登録フローの早い段階でメールアドレスやユーザー名の重複をチェックすることができます。例えば、ユーザーがユーザー名を入力している間や、入力フィールドがフォーカスを失ったときに行います。これにより、不要なフォーム送信を防ぎ、ユーザーに即時のフィードバックを提供することができます。これらのチェックの頻度を管理するために、use-debounceなどのライブラリを使用してリクエストをデバウンスすることができます。
セッション管理
セッション管理は、ユーザーの認証状態がリクエスト間で保持されることを保証します。これには、セッションやトークンの作成、保存、更新、削除が含まれます。
セッションには2種類あります:
- ステートレス: セッションデータ(またはトークン)がブラウザのクッキーに保存されます。クッキーは各リクエストと共に送信され、サーバー上でセッションを検証できるようにします。この方法はよりシンプルですが、正しく実装されていない場合はセキュリティが低下する可能性があります。
- データベース: セッションデータはデータベースに保存され、ユーザーのブラウザは暗号化されたセッションIDのみを受け取ります。この方法はより安全ですが、複雑でサーバーリソースをより多く使用する可能性があります。
補足: どちらの方法も使用できますが、iron-sessionやJoseなどのセッション管理ライブラリの使用をお勧めします。
ステートレスセッション
ステートレスセッションを作成および管理するには、いくつかのステップを実行する必要があります:
- セッションの署名に使用する秘密鍵を生成し、環境変数として保存します。
- セッション管理ライブラリを使用してセッションデータを暗号化/復号化するロジックを記述します。
- Next.jsの
cookiesAPIを使用してクッキーを管理します。
上記に加えて、ユーザーがアプリケーションに戻ったときにセッションを更新(またはリフレッシュ)し、ユーザーがログアウトしたときにセッションを削除する機能を追加することを検討してください。
補足: 認証ライブラリにセッション管理が含まれているかどうかを確認してください。
1. 秘密鍵の生成
セッションの署名に使用する秘密鍵を生成するにはいくつかの方法があります。例えば、ターミナルでopensslコマンドを使用することを選択できます:
openssl rand -base64 32このコマンドは、秘密鍵として使用できる32文字のランダムな文字列を生成し、環境変数ファイルに保存します:
SESSION_SECRET=your_secret_keyその後、セッション管理ロジックでこのキーを参照できます:
const secretKey = process.env.SESSION_SECRET2. セッションの暗号化と復号化
次に、お好みのセッション管理ライブラリを使用してセッションを暗号化および復号化できます。前の例から続けると、Jose(Edge Runtimeと互換性あり)とReactのserver-onlyパッケージを使用して、セッション管理ロジックがサーバー上でのみ実行されるようにします。
import 'server-only'
import { SignJWT, jwtVerify } from 'jose'
import { SessionPayload } from '@/app/lib/definitions'
const secretKey = process.env.SESSION_SECRET
const encodedKey = new TextEncoder().encode(secretKey)
export async function encrypt(payload: SessionPayload) {
return new SignJWT(payload)
.setProtectedHeader({ alg: 'HS256' })
.setIssuedAt()
.setExpirationTime('7d')
.sign(encodedKey)
}
export async function decrypt(session: string | undefined = '') {
try {
const { payload } = await jwtVerify(session, encodedKey, {
algorithms: ['HS256'],
})
return payload
} catch (error) {
console.log('Failed to verify session')
}
}ヒント:
- ペイロードには、ユーザーIDやロールなど、後続のリクエストで使用される最小限の一意のユーザーデータを含める必要があります。電話番号、メールアドレス、クレジットカード情報などの個人を特定できる情報やパスワードなどの機密データを含めるべきではありません。
3. クッキーの設定(推奨オプション)
セッションをクッキーに保存するには、Next.jsのcookies APIを使用します。クッキーはサーバー上で設定され、推奨オプションを含める必要があります:
- HttpOnly: クライアント側のJavaScriptがクッキーにアクセスするのを防ぎます。
- Secure: httpsを使用してクッキーを送信します。
- SameSite: クロスサイトリクエストでクッキーを送信できるかどうかを指定します。
- Max-Age または Expires: 一定期間後にクッキーを削除します。
- Path: クッキーのURLパスを定義します。
これらのオプションについての詳細はMDNを参照してください。
import 'server-only'
import { cookies } from 'next/headers'
export async function createSession(userId: string) {
const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
const session = await encrypt({ userId, expiresAt })
const cookieStore = await cookies()
cookieStore.set('session', session, {
httpOnly: true,
secure: true,
expires: expiresAt,
sameSite: 'lax',
path: '/',
})
}Server Actionに戻ると、createSession()関数を呼び出し、redirect() APIを使用してユーザーを適切なページにリダイレクトできます:
import { createSession } from '@/app/lib/session'
export async function signup(state: FormState, formData: FormData) {
// Previous steps:
// 1. Validate form fields
// 2. Prepare data for insertion into database
// 3. Insert the user into the database or call an Library API
// Current steps:
// 4. Create user session
await createSession(user.id)
// 5. Redirect user
redirect('/profile')
}ヒント:
- クッキーはサーバー上で設定する必要があります。クライアント側での改ざんを防ぐためです。
- 🎥 参考動画: Next.jsでのステートレスセッションと認証についてもっと学ぶ → YouTube (11分)
セッションの更新(またはリフレッシュ)
セッションの有効期限を延長することもできます。これは、ユーザーがアプリケーションに再度アクセスした後もログイン状態を維持するのに役立ちます。例えば:
import 'server-only'
import { cookies } from 'next/headers'
import { decrypt } from '@/app/lib/session'
export async function updateSession() {
const session = (await cookies()).get('session')?.value
const payload = await decrypt(session)
if (!session || !payload) {
return null
}
const expires = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
const cookieStore = await cookies()
cookieStore.set('session', session, {
httpOnly: true,
secure: true,
expires: expires,
sameSite: 'lax',
path: '/',
})
}ヒント: 認証ライブラリがリフレッシュトークンをサポートしているかどうかを確認してください。リフレッシュトークンはユーザーのセッションを延長するために使用できます。
セッションの削除
セッションを削除するには、クッキーを削除できます:
import 'server-only'
import { cookies } from 'next/headers'
export async function deleteSession() {
const cookieStore = await cookies()
cookieStore.delete('session')
}そして、アプリケーション内でdeleteSession()関数を再利用できます。例えば、ログアウト時に:
import { cookies } from 'next/headers'
import { deleteSession } from '@/app/lib/session'
export async function logout() {
deleteSession()
redirect('/login')
}データベースセッション
データベースセッションを作成および管理するには、次のステップを実行する必要があります:
- データベースにセッションとデータを保存するためのテーブルを作成します(または認証ライブラリがこれを処理するかどうかを確認します)。
- セッションの挿入、更新、削除の機能を実装します。
- ユーザーのブラウザに保存する前にセッションIDを暗号化し、データベースとクッキーが同期した状態を維持します(これはオプションですが、ミドルウェアでの楽観的な認証チェックにはお勧めです)。
例えば:
import cookies from 'next/headers'
import { db } from '@/app/lib/db'
import { encrypt } from '@/app/lib/session'
export async function createSession(id: number) {
const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
// 1. データベースにセッションを作成
const data = await db
.insert(sessions)
.values({
userId: id,
expiresAt,
})
// セッションIDを返す
.returning({ id: sessions.id })
const sessionId = data[0].id
// 2. セッションIDを暗号化
const session = await encrypt({ sessionId, expiresAt })
// 3. 楽観的な認証チェックのためにセッションをクッキーに保存
const cookieStore = await cookies()
cookieStore.set('session', session, {
httpOnly: true,
secure: true,
expires: expiresAt,
sameSite: 'lax',
path: '/',
})
}ヒント:
- より高速なデータ取得のために、Vercel Redisなどのデータベースの使用を検討してください。ただし、セッションデータを主要データベースに保持し、クエリの数を減らすためにデータリクエストを組み合わせることもできます。
- ユーザーが最後にログインした時間の追跡や、アクティブなデバイスの数、またはすべてのデバイスからログアウトする機能をユーザーに提供するなど、より高度なユースケースにはデータベースセッションを使用することを選択できます。
セッション管理を実装した後、ユーザーがアプリケーション内でアクセスできる内容やできることを制御するための認可ロジックを追加する必要があります。詳細については認可セクションを参照してください。
認可
ユーザーが認証され、セッションが作成されると、ユーザーがアプリケーション内でアクセスできる内容やできることを制御するための認可を実装できます。
認可チェックには主に2つのタイプがあります:
- 楽観的: クッキーに保存されているセッションデータを使用して、ユーザーがルートにアクセスしたりアクションを実行したりする権限があるかどうかをチェックします。これらのチェックは、UI要素の表示/非表示や、権限やロールに基づいてユーザーをリダイレクトするなどの迅速な操作に役立ちます。
- 安全: データベースに保存されているセッションデータを使用して、ユーザーがルートにアクセスしたりアクションを実行したりする権限があるかどうかをチェックします。これらのチェックはより安全で、機密データへのアクセスやアクションが必要な操作に使用されます。
両方のケースで以下を推奨します:
- 認可ロジックを一元化するためのデータアクセスレイヤーの作成
- 必要なデータのみを返すためのデータ転送オブジェクト(DTO)の使用
- オプションで楽観的チェックを実行するためのミドルウェアの使用
ミドルウェアを使用した楽観的チェック(オプション)
ミドルウェアを使用して権限に基づいてユーザーをリダイレクトしたい場合があります:
- 楽観的チェックを実行するため。ミドルウェアはすべてのルートで実行されるため、リダイレクトロジックを一元化し、権限のないユーザーを事前にフィルタリングするには良い方法です。
- ユーザー間でデータを共有する静的ルート(例:ペイウォール背後のコンテンツ)を保護するため。
しかし、ミドルウェアはプリフェッチされたルートを含むすべてのルートで実行されるため、パフォーマンスの問題を防ぐために、クッキーからセッションを読み取るだけ(楽観的チェック)にし、データベースチェックを避けることが重要です。
例えば:
import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'
// 1. 保護対象と公開ルートを指定
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']
export default async function middleware(req: NextRequest) {
// 2. 現在のルートが保護対象か公開かをチェック
const path = req.nextUrl.pathname
const isProtectedRoute = protectedRoutes.includes(path)
const isPublicRoute = publicRoutes.includes(path)
// 3. クッキーからセッションを復号化
const cookie = (await cookies()).get('session')?.value
const session = await decrypt(cookie)
// 4. ユーザーが認証されていない場合は/loginにリダイレクト
if (isProtectedRoute && !session?.userId) {
return NextResponse.redirect(new URL('/login', req.nextUrl))
}
// 5. ユーザーが認証されている場合は/dashboardにリダイレクト
if (
isPublicRoute &&
session?.userId &&
!req.nextUrl.pathname.startsWith('/dashboard')
) {
return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
}
return NextResponse.next()
}
// ミドルウェアを実行しないルート
export const config = {
matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}ミドルウェアは初期チェックに役立ちますが、データを保護するための唯一の防御線であるべきではありません。セキュリティチェックの大部分は、データソースにできるだけ近い場所で実行する必要があります。詳細についてはデータアクセスレイヤーを参照してください。
ヒント:
- ミドルウェアでは、
req.cookies.get('session').valueを使用してクッキーを読み取ることもできます。- ミドルウェアはEdge Runtimeを使用します。認証ライブラリとセッション管理ライブラリが互換性があるかどうかを確認してください。
- ミドルウェアの
matcherプロパティを使用して、ミドルウェアを実行するルートを指定できます。ただし、認証の場合、ミドルウェアがすべてのルートで実行されることをお勧めします。
データアクセスレイヤー(DAL)の作成
データリクエストと認可ロジックを一元化するためにDALを作成することをお勧めします。
DALには、ユーザーがアプリケーションを操作する際にユーザーのセッションを検証する関数を含める必要があります。少なくとも、この関数はセッションが有効かどうかをチェックし、その後ユーザーをリダイレクトするか、さらなるリクエストを行うために必要なユーザー情報を返す必要があります。
例えば、verifySession()関数を含むDAL用の別ファイルを作成します。そして、Reactのcache APIを使用して、React のレンダリング中に関数の戻り値をメモ化します:
import 'server-only'
import { cookies } from 'next/headers'
import { decrypt } from '@/app/lib/session'
export const verifySession = cache(async () => {
const cookie = (await cookies()).get('session')?.value
const session = await decrypt(cookie)
if (!session?.userId) {
redirect('/login')
}
return { isAuth: true, userId: session.userId }
})その後、データリクエスト、Server Actions、Route HandlersでverifySession()関数を呼び出すことができます:
export const getUser = cache(async () => {
const session = await verifySession()
if (!session) return null
try {
const data = await db.query.users.findMany({
where: eq(users.id, session.userId),
// ユーザーオブジェクト全体ではなく、必要な列を明示的に返す
columns: {
id: true,
name: true,
email: true,
},
})
const user = data[0]
return user
} catch (error) {
console.log('Failed to fetch user')
return null
}
})ヒント:
- DALはリクエスト時に取得されるデータを保護するために使用できます。ただし、ユーザー間でデータを共有する静的ルートの場合、データはビルド時に取得され、リクエスト時には取得されません。静的ルートを保護するにはミドルウェアを使用してください。
- 安全なチェックについては、セッションIDをデータベースと比較してセッションが有効かどうかを確認できます。レンダリング中に不要な重複データベースリクエストを避けるために、Reactのcache関数を使用してください。
- メソッドを実行する前に
verifySession()を実行するJavaScriptクラスに関連するデータリクエストを統合することをお勧めします。
データ転送オブジェクト(DTO)の使用
データを取得する際は、アプリケーションで使用される必要なデータのみを返し、オブジェクト全体を返さないことをお勧めします。例えば、ユーザーデータをフェッチする場合、パスワード、電話番号などを含む可能性のあるユーザーオブジェクト全体ではなく、ユーザーのIDと名前のみを返すことができます。
ただし、返されるデータ構造を制御できない場合や、クライアントに渡されるオブジェクト全体を避けたいチームで作業している場合は、クライアントに公開しても安全なフィールドを指定するなどの戦略を使用できます。
import 'server-only'
import { getUser } from '@/app/lib/dal'
function canSeeUsername(viewer: User) {
return true
}
function canSeePhoneNumber(viewer: User, team: string) {
return viewer.isAdmin || team === viewer.team
}
export async function getProfileDTO(slug: string) {
const data = await db.query.users.findMany({
where: eq(users.slug, slug),
// ここで特定の列を返す
})
const user = data[0]
const currentUser = await getUser(user.id)
// またはクエリに固有のものだけをここで返す
return {
username: canSeeUsername(currentUser) ? user.username : null,
phonenumber: canSeePhoneNumber(currentUser, user.team)
? user.phonenumber
: null,
}
}データリクエストと認可ロジックをDALで一元化し、DTOを使用することで、すべてのデータリクエストが安全で一貫していることを確保でき、アプリケーションの拡張に伴って維持、監査、デバッグが容易になります。
補足:
- DTOを定義するにはいくつかの方法があります。
toJSON()の使用から、上記の例のような個別の関数、またはJSクラスまで。これらはJavaScriptのパターンであり、ReactやNext.jsの機能ではないため、アプリケーションに最適なパターンを見つけるために調査することをお勧めします。- セキュリティのベストプラクティスについては、Next.jsのセキュリティに関する記事で詳細を学んでください。
サーバーコンポーネント
サーバーコンポーネントでの認証チェックは、ロールベースのアクセスに役立ちます。例えば、ユーザーのロールに基づいてコンポーネントを条件付きでレンダリングする場合:
import { verifySession } from '@/app/lib/dal'
export default function Dashboard() {
const session = await verifySession()
const userRole = session?.user?.role // セッションオブジェクトの一部として'role'があると仮定
if (userRole === 'admin') {
return <AdminDashboard />
} else if (userRole === 'user') {
return <UserDashboard />
} else {
redirect('/login')
}
}この例では、DALのverifySession()関数を使用して、'admin'、'user'、および権限のないロールをチェックしています。このパターンは、各ユーザーが自分のロールに適したコンポーネントのみと対話することを保証します。
レイアウトと認証チェック
部分的レンダリングのため、レイアウトでチェックを行う際は注意が必要です。これらはナビゲーション時に再レンダリングされないため、ユーザーセッションはすべてのルート変更時にチェックされません。
代わりに、データソースまたは条件付きでレンダリングされるコンポーネントの近くでチェックを行う必要があります。
例えば、ユーザーデータをフェッチしてナビゲーションにユーザー画像を表示する共有レイアウトを考えてみましょう。認証チェックをレイアウトで行うのではなく、レイアウトでユーザーデータ(getUser())をフェッチし、DALで認証チェックを行う必要があります。
これにより、アプリケーション内でgetUser()が呼び出される場所であれば、認証チェックが実行されることが保証され、開発者がユーザーがデータにアクセスする権限を持っているかどうかをチェックし忘れることを防ぎます。
export default async function Layout({
children,
}: {
children: React.ReactNode;
}) {
const user = await getUser();
return (
// ...
)
}export const getUser = cache(async () => {
const session = await verifySession()
if (!session) return null
// セッションからユーザーIDを取得してデータをフェッチ
})補足:
- SPAでよく見られるパターンとして、ユーザーが認証されていない場合にレイアウトやトップレベルコンポーネントで
return nullとすることがあります。このパターンはNext.jsアプリケーションには推奨されません。Next.jsアプリケーションには複数のエントリーポイントがあり、ネストされたルートセグメントやServer Actionsへのアクセスを防止することにはならないためです。
Server Actions
Server Actionsは公開APIエンドポイントと同じセキュリティ上の考慮が必要であり、ユーザーがミューテーションを実行する権限があるかどうかを検証する必要があります。
以下の例では、アクションを実行する前にユーザーのロールを確認します:
'use server'
import { verifySession } from '@/app/lib/dal'
export async function serverAction(formData: FormData) {
const session = await verifySession()
const userRole = session?.user?.role
// ユーザーがアクションを実行する権限がない場合は早期に終了
if (userRole !== 'admin') {
return null
}
// 権限のあるユーザーに対してアクションを続行
}Route Handlers
Route Handlersは公開APIエンドポイントと同じセキュリティ上の考慮が必要であり、ユーザーがRoute Handlerにアクセスする権限があるかどうかを検証する必要があります。
例えば:
import { verifySession } from '@/app/lib/dal'
export async function GET() {
// ユーザー認証とロール検証
const session = await verifySession()
// ユーザーが認証されているかどうかを確認
if (!session) {
// ユーザーは認証されていない
return new Response(null, { status: 401 })
}
// ユーザーが'admin'ロールを持っているかどうかを確認
if (session.user.role !== 'admin') {
// ユーザーは認証されているが、適切な権限を持っていない
return new Response(null, { status: 403 })
}
// 権限のあるユーザーに対して継続
}上記の例は、二段階のセキュリティチェックを持つRoute Handlerを示しています。まず、アクティブなセッションがあるかどうかをチェックし、次にログインしているユーザーが'admin'であるかどうかを確認します。
コンテキストプロバイダー
インターリービングにより、認証にコンテキストプロバイダーを使用することは機能します。ただし、React contextはサーバーコンポーネントではサポートされておらず、クライアントコンポーネントにのみ適用できます。
これは機能しますが、子のサーバーコンポーネントは最初にサーバー上でレンダリングされ、コンテキストプロバイダーのセッションデータにアクセスできません:
import { ContextProvider } from 'auth-lib'
export default function RootLayout({ children }) {
return (
<html lang="en">
<body>
<ContextProvider>{children}</ContextProvider>
</body>
</html>
)
}"use client";
import { useSession } from "auth-lib";
export default function Profile() {
const { userId } = useSession();
const { data } = useSWR(`/api/user/${userId}`, fetcher)
return (
// ...
);
}クライアントコンポーネントでセッションデータが必要な場合(例:クライアント側のデータフェッチング)、ReactのtaintUniqueValue APIを使用して、機密セッションデータがクライアントに公開されるのを防ぐことができます。
リソース
Next.jsでの認証について学んだところで、セキュアな認証とセッション管理を実装するためのNext.js互換ライブラリとリソースを紹介します:
認証ライブラリ
セッション管理ライブラリ
参考文献
認証とセキュリティについてさらに学ぶには、以下のリソースをご確認ください: