Next.jsで認証を実装する方法
認証の理解は、アプリケーションのデータを保護するために重要です。このページでは、認証を実装するためにReactとNext.jsのどの機能を使用するかを説明します。
開始前に、プロセスを3つの概念に分解すると役に立ちます。
- 認証:ユーザーが本人であることを確認します。ユーザー名とパスワードなど、ユーザーが持っているもので身元を証明する必要があります。
- セッション管理:リクエスト全体を通じてユーザーの認証状態を追跡します。
- 認可:ユーザーがアクセスできるルートとデータを決定します。
次の図は、ReactとNext.jsの機能を使用した認証フローを示しています。
このページの例では、教育目的でベーシックなユーザー名とパスワード認証を紹介しています。カスタム認証ソリューションを実装することもできますが、セキュリティと簡潔性を高めるために、認証ライブラリの使用をお勧めします。これらのライブラリは、認証、セッション管理、認可の組み込みソリューション、およびソーシャルログイン、多要素認証、ロールベースのアクセス制御などの追加機能を提供します。リストは認証ライブラリセクションにあります。
認証
サインアップとログイン機能
ReactのServer ActionsとuseActionStateを使用して、<form>要素でユーザー認証情報をキャプチャし、フォームフィールドを検証し、認証プロバイダーのAPIまたはデータベースを呼び出すことができます。
Server Actionsは常にサーバー上で実行されるため、認証ロジックを処理するための安全な環境を提供します。
サインアップ/ログイン機能を実装するステップは以下の通りです。
1. ユーザー認証情報をキャプチャする
ユーザー認証情報をキャプチャするには、送信時にServer Actionを呼び出すフォームを作成します。例えば、ユーザーの名前、メールアドレス、パスワードを受け付けるサインアップフォームがあります。
import { signup } from '@/app/actions/auth'
export function SignupForm() {
return (
<form action={signup}>
<div>
<label htmlFor="name">名前</label>
<input id="name" name="name" placeholder="名前" />
</div>
<div>
<label htmlFor="email">メールアドレス</label>
<input id="email" name="email" type="email" placeholder="メールアドレス" />
</div>
<div>
<label htmlFor="password">パスワード</label>
<input id="password" name="password" type="password" />
</div>
<button type="submit">サインアップ</button>
</form>
)
}export async function signup(formData: FormData) {}2. サーバー上でフォームフィールドを検証する
Server Actionを使用してサーバー上でフォームフィールドを検証します。認証プロバイダーがフォーム検証を提供していない場合は、ZodやYupなどのスキーマ検証ライブラリを使用できます。
例として、Zodを使用すると、適切なエラーメッセージを含むフォームスキーマを定義できます。
import * as z from 'zod'
export const SignupFormSchema = z.object({
name: z
.string()
.min(2, { error: '名前は2文字以上である必要があります。' })
.trim(),
email: z.email({ error: '有効なメールアドレスを入力してください。' }).trim(),
password: z
.string()
.min(8, { error: '8文字以上である必要があります' })
.regex(/[a-zA-Z]/, { error: '少なくとも1つの文字を含みます。' })
.regex(/[0-9]/, { error: '少なくとも1つの数字を含みます。' })
.regex(/[^a-zA-Z0-9]/, {
error: '少なくとも1つの特殊文字を含みます。',
})
.trim(),
})
export type FormState =
| {
errors?: {
name?: string[]
email?: string[]
password?: string[]
}
message?: string
}
| undefined不要な認証プロバイダーのAPIやデータベースへの呼び出しを防ぐために、フォームフィールドが定義されたスキーマと一致しない場合はServer Actionで早期にreturnすることができます。
import { SignupFormSchema, FormState } from '@/app/lib/definitions'
export async function signup(state: FormState, formData: FormData) {
// フォームフィールドを検証する
const validatedFields = SignupFormSchema.safeParse({
name: formData.get('name'),
email: formData.get('email'),
password: formData.get('password'),
})
// フォームフィールドが無効な場合は早期に返す
if (!validatedFields.success) {
return {
errors: validatedFields.error.flatten().fieldErrors,
}
}
// プロバイダーまたはdbを呼び出してユーザーを作成する...
}<SignupForm />に戻り、ReactのuseActionStateフックを使用してフォーム送信中に検証エラーを表示できます。
'use client'
import { signup } from '@/app/actions/auth'
import { useActionState } from 'react'
export default function SignupForm() {
const [state, action, pending] = useActionState(signup, undefined)
return (
<form action={action}>
<div>
<label htmlFor="name">名前</label>
<input id="name" name="name" placeholder="名前" />
</div>
{state?.errors?.name && <p>{state.errors.name}</p>}
<div>
<label htmlFor="email">メールアドレス</label>
<input id="email" name="email" placeholder="メールアドレス" />
</div>
{state?.errors?.email && <p>{state.errors.email}</p>}
<div>
<label htmlFor="password">パスワード</label>
<input id="password" name="password" type="password" />
</div>
{state?.errors?.password && (
<div>
<p>パスワードは以下を含む必要があります:</p>
<ul>
{state.errors.password.map((error) => (
<li key={error}>- {error}</li>
))}
</ul>
</div>
)}
<button disabled={pending} type="submit">
サインアップ
</button>
</form>
)
}補足:
- React 19では、
useFormStatusは返されたオブジェクトに、data、method、actionなどの追加キーを含みます。React 19を使用していない場合は、pendingキーのみが利用可能です。- データを変更する前に、常にユーザーがアクションを実行する権限があるかどうかを確認する必要があります。認証と認可を参照してください。
3. ユーザーアカウントを作成するか、ユーザー認証情報をチェックする
フォームフィールドを検証した後、認証プロバイダーのAPIまたはデータベースを呼び出して、新しいユーザーアカウントを作成するか、ユーザーが存在するかどうかを確認できます。
前の例から続きます。
export async function signup(state: FormState, formData: FormData) {
// 1. フォームフィールドを検証する
// ...
// 2. データベースに挿入するためのデータを準備する
const { name, email, password } = validatedFields.data
// 例:ユーザーのパスワードをデータベースに保存する前にハッシュ化する
const hashedPassword = await bcrypt.hash(password, 10)
// 3. ユーザーをデータベースに挿入するか、認証ライブラリのAPIを呼び出す
const data = await db
.insert(users)
.values({
name,
email,
password: hashedPassword,
})
.returning({ id: users.id })
const user = data[0]
if (!user) {
return {
message: 'アカウント作成中にエラーが発生しました。',
}
}
// TODO:
// 4. ユーザーセッションを作成する
// 5. ユーザーをリダイレクトする
}ユーザーアカウントの作成またはユーザー認証情報の検証に成功した後、ユーザーの認証状態を管理するためのセッションを作成できます。セッション管理戦略によっては、セッションをCookieまたはデータベース、またはその両方に保存できます。詳細については、セッション管理セクションを参照してください。
ヒント:
- 上記の例は、教育目的で認証ステップを分解しているため、冗長です。これは、セキュアなソリューションを独自に実装することがすぐに複雑になることを強調しています。プロセスを簡素化するために認証ライブラリの使用を検討してください。
- ユーザー体験を向上させるために、登録フロー内でメールアドレスまたはユーザー名の重複をより早期にチェックすることをお勧めします。例えば、ユーザーがユーザー名を入力している間、またはインプットフィールドがフォーカスを失ったとき。これは、不要なフォーム送信を防ぎ、ユーザーにすぐにフィードバックを提供するのに役立ちます。use-debounceなどのライブラリを使用してリクエストをデバウンスし、これらのチェックの頻度を管理できます。
セッション管理
セッション管理は、ユーザーの認証状態がリクエスト全体を通じて保持されることを保証します。セッションまたはトークンの作成、保存、更新、削除を伴います。
セッションには2つのタイプがあります。
- ステートレス:セッションデータ(またはトークン)はブラウザーのCookieに保存されます。Cookieは各リクエストで送信され、セッションをサーバーで検証できるようにします。このメソッドはより単純ですが、正しく実装されていない場合、セキュリティが低くなる可能性があります。
- データベース:セッションデータはデータベースに保存され、ユーザーのブラウザーは暗号化されたセッションIDのみを受け取ります。このメソッドはより安全ですが、複雑になる可能性があり、より多くのサーバーリソースを使用できます。
補足: どちらの方法も使用できます、またはその両方を使用できますが、iron-sessionやJoseなどのセッション管理ライブラリの使用をお勧めします。
ステートレスセッション
ステートレスセッションを作成して管理するために、従う必要があるいくつかのステップがあります。
- セッションに署名するために使用される秘密鍵を生成し、環境変数として保存します。
- セッション管理ライブラリを使用してセッションデータを暗号化/復号化するロジックを記述します。
- Next.jsの
cookiesAPIを使用してCookieを管理します。
上記に加えて、ユーザーがアプリケーションに戻るときにセッションを更新(または更新)する機能を追加し、ユーザーがログアウトするときにセッションを削除する機能を追加することを検討してください。
補足: 認証ライブラリにセッション管理が含まれているかどうかを確認してください。
1. 秘密鍵を生成する
セッションに署名するための秘密鍵を生成する方法はいくつかあります。例えば、ターミナルでopensslコマンドを使用することを選択できます。
openssl rand -base64 32このコマンドは、秘密鍵として使用し、環境変数ファイルに保存できる32文字のランダム文字列を生成します。
SESSION_SECRET=your_secret_keyセッション管理ロジックでこのキーを参照できます。
const secretKey = process.env.SESSION_SECRET2. セッションを暗号化および復号化する
次に、優先するセッション管理ライブラリを使用してセッションを暗号化および復号化できます。前の例から続けて、Jose(Edge Runtimeと互換性あり)とReactのserver-onlyパッケージを使用して、セッション管理ロジックがサーバー上でのみ実行されることを確認します。
import 'server-only'
import { SignJWT, jwtVerify } from 'jose'
import { SessionPayload } from '@/app/lib/definitions'
const secretKey = process.env.SESSION_SECRET
const encodedKey = new TextEncoder().encode(secretKey)
export async function encrypt(payload: SessionPayload) {
return new SignJWT(payload)
.setProtectedHeader({ alg: 'HS256' })
.setIssuedAt()
.setExpirationTime('7d')
.sign(encodedKey)
}
export async function decrypt(session: string | undefined = '') {
try {
const { payload } = await jwtVerify(session, encodedKey, {
algorithms: ['HS256'],
})
return payload
} catch (error) {
console.log('セッションの検証に失敗しました')
}
}ヒント:
- ペイロードは、後続のリクエストで使用される最小限の一意のユーザーデータ(ユーザーIDやロールなど)を含む必要があります。電話番号、メールアドレス、クレジットカード情報などの個人識別情報や、パスワードなどの機密データを含まないでください。
3. Cookieを設定する(推奨オプション)
セッションをCookieに保存するには、Next.jsのcookiesAPIを使用します。Cookieはサーバー上で設定する必要があり、以下の推奨オプションを含めます。
- HttpOnly:クライアント側のJavaScriptがCookieにアクセスするのを防ぎます。
- Secure:httpsを使用してCookieを送信します。
- SameSite:Cookieをクロスサイトリクエストで送信できるかどうかを指定します。
- Max-Age または Expires:一定期間後にCookieを削除します。
- Path:CookieのURLパスを定義します。
各オプションの詳細については、MDNを参照してください。
import 'server-only'
import { cookies } from 'next/headers'
export async function createSession(userId: string) {
const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
const session = await encrypt({ userId, expiresAt })
const cookieStore = await cookies()
cookieStore.set('session', session, {
httpOnly: true,
secure: true,
expires: expiresAt,
sameSite: 'lax',
path: '/',
})
}Server Actionに戻り、createSession()関数を呼び出し、redirect()APIを使用してユーザーを適切なページにリダイレクトできます。
import { createSession } from '@/app/lib/session'
export async function signup(state: FormState, formData: FormData) {
// 前のステップ:
// 1. フォームフィールドを検証する
// 2. データベースに挿入するためのデータを準備する
// 3. ユーザーをデータベースに挿入するか、ライブラリのAPIを呼び出す
// 現在のステップ:
// 4. ユーザーセッションを作成する
await createSession(user.id)
// 5. ユーザーをリダイレクトする
redirect('/profile')
}ヒント:
- Cookieはサーバー上で設定する必要があります。クライアント側の改ざんを防ぐため。
- 🎥 ウォッチ:Next.jsを使用したステートレスセッションと認証について詳しく学びます → YouTube(11分)。
セッションを更新(または更新)する
セッションの有効期限を延長することもできます。これはユーザーがアプリケーションに再度アクセスした後、ユーザーがログイン状態を保つのに役立ちます。例えば:
import 'server-only'
import { cookies } from 'next/headers'
import { decrypt } from '@/app/lib/session'
export async function updateSession() {
const session = (await cookies()).get('session')?.value
const payload = await decrypt(session)
if (!session || !payload) {
return null
}
const expires = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
const cookieStore = await cookies()
cookieStore.set('session', session, {
httpOnly: true,
secure: true,
expires: expires,
sameSite: 'lax',
path: '/',
})
}ヒント: 認証ライブラリがリフレッシュトークンをサポートしているかどうかを確認してください。これを使用してユーザーのセッションを延長できます。
セッションを削除する
セッションを削除するには、Cookieを削除します。
import 'server-only'
import { cookies } from 'next/headers'
export async function deleteSession() {
const cookieStore = await cookies()
cookieStore.delete('session')
}その後、アプリケーション内でdeleteSession()関数を再利用できます。例えば、ログアウト時に:
import { cookies } from 'next/headers'
import { deleteSession } from '@/app/lib/session'
export async function logout() {
await deleteSession()
redirect('/login')
}データベースセッション
データベースセッションを作成して管理するには、以下のステップに従う必要があります。
- セッションとデータを保存するためのテーブルをデータベースに作成します(または認証ライブラリがこれを処理するかどうかを確認します)。
- セッションを挿入、更新、削除するための機能を実装します
- セッションIDを暗号化してからユーザーのブラウザーに保存し、データベースとCookieを同期させたままにします(これはオプションですが、Proxyでの楽観的な認証チェックに推奨されます)。
例えば:
import cookies from 'next/headers'
import { db } from '@/app/lib/db'
import { encrypt } from '@/app/lib/session'
export async function createSession(id: number) {
const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
// 1. データベースにセッションを作成する
const data = await db
.insert(sessions)
.values({
userId: id,
expiresAt,
})
// セッションIDを返す
.returning({ id: sessions.id })
const sessionId = data[0].id
// 2. セッションIDを暗号化する
const session = await encrypt({ sessionId, expiresAt })
// 3. 楽観的な認証チェックのためにセッションをCookieに保存する
const cookieStore = await cookies()
cookieStore.set('session', session, {
httpOnly: true,
secure: true,
expires: expiresAt,
sameSite: 'lax',
path: '/',
})
}ヒント:
- より高速にアクセスするために、セッションの有効期限中にサーバーキャッシュを追加することを検討できます。プライマリデータベースにセッションデータを保持し、データリクエストを組み合わせてクエリ数を減らすこともできます。
- 最後のログイン時刻を追跡する、またはアクティブなデバイス数を追跡する、またはユーザーにすべてのデバイスからログアウトする機能を与えるなど、より高度なユースケースについてはデータベースセッションを使用することを選択できます。
セッション管理を実装した後、ユーザーがアプリケーション内で何にアクセスして何ができるかを制御するための認可ロジックを追加する必要があります。詳細については、認可セクションを参照してください。
認可
ユーザーが認証され、セッションが作成されたら、ユーザーがアプリケーション内でアクセスして実行できる内容を制御するための認可を実装できます。
認可チェックには2つの主なタイプがあります。
- 楽観的:Cookieに保存されたセッションデータを使用してユーザーがルートへのアクセスまたはアクションの実行が許可されているかどうかをチェックします。これらのチェックは、UI要素の表示/非表示やユーザーの権限やロールに基づいたリダイレクトなど、クイック操作に役立ちます。
- セキュア:データベースに保存されたセッションデータを使用してユーザーがルートへのアクセスまたはアクションの実行が許可されているかどうかをチェックします。これらのチェックはより安全であり、機密データまたはアクションへのアクセスを必要とする操作に使用されます。
どちらの場合も、推奨事項は以下の通りです。
- データアクセスレイヤーを作成して認可ロジックを一元化する
- Data Transfer Objects(DTO)を使用して必要なデータのみを返す
- 必要に応じてProxyを使用して楽観的なチェックを実行する。
Proxyを使用した楽観的チェック(オプション)
Proxyを使用して、権限に基づいてユーザーをリダイレクトしたい場合があります。
- 楽観的なチェックを実行する。Proxyはすべてのルートで実行されるため、リダイレクトロジックを一元化し、許可されていないユーザーを事前フィルタリングする良い方法です。
- ユーザー間でデータを共有する静的ルート(ペイウォールの背後にあるコンテンツなど)を保護する。
ただし、Proxyはすべてのルート(プリフェッチされたルートを含む)で実行されるため、Cookieからセッションのみを読み取る(楽観的チェック)ことが重要であり、パフォーマンスの問題を防ぐためにデータベースチェックを避けてください。
例えば:
import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'
// 1. 保護されたルートと公開ルートを指定する
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']
export default async function proxy(req: NextRequest) {
// 2. 現在のルートが保護されているか公開されているかをチェックする
const path = req.nextUrl.pathname
const isProtectedRoute = protectedRoutes.includes(path)
const isPublicRoute = publicRoutes.includes(path)
// 3. Cookieからセッションを復号化する
const cookie = (await cookies()).get('session')?.value
const session = await decrypt(cookie)
// 4. ユーザーが認証されていない場合は/loginにリダイレクトする
if (isProtectedRoute && !session?.userId) {
return NextResponse.redirect(new URL('/login', req.nextUrl))
}
// 5. ユーザーが認証されている場合は/dashboardにリダイレクトする
if (
isPublicRoute &&
session?.userId &&
!req.nextUrl.pathname.startsWith('/dashboard')
) {
return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
}
return NextResponse.next()
}
// Proxyが実行されないルート
export const config = {
matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}Proxyは初期チェックに役立つ場合がありますが、データを保護するための唯一の防止線ではないはずです。セキュリティチェックの大多数は、データソースにできるだけ近い場所で実行する必要があります。詳細については、データアクセスレイヤーを参照してください。
ヒント:
- Proxyでは、
req.cookies.get('session').valueを使用してCookieを読み取ることもできます。- ProxyはEdge Runtimeを使用します。認証ライブラリとセッション管理ライブラリが互換性があるかどうかを確認してください。
- Proxyの
matcherプロパティを使用してProxyが実行されるべきルートを指定できます。ただし、認証の場合、すべてのルートでProxyが実行されることが推奨されます。
データアクセスレイヤー(DAL)を作成する
データリクエストと認可ロジックを一元化するためにDALを作成することをお勧めします。
DALは、ユーザーがアプリケーションと相互作用するときにユーザーのセッションを検証する関数を含める必要があります。最低限、関数はセッションが有効かどうかをチェックし、その後ユーザーをリダイレクトするか、さらなるリクエストを行うために必要なユーザー情報を返す必要があります。
例えば、verifySession()関数を含むDAL用の別個のファイルを作成します。その後、ReactのcacheAPIを使用してReactレンダーパス中の関数の戻り値をメモ化します。
import 'server-only'
import { cookies } from 'next/headers'
import { decrypt } from '@/app/lib/session'
export const verifySession = cache(async () => {
const cookie = (await cookies()).get('session')?.value
const session = await decrypt(cookie)
if (!session?.userId) {
redirect('/login')
}
return { isAuth: true, userId: session.userId }
})その後、データリクエスト、Server Actions、Route HandlersでverifySession()関数を呼び出すことができます。
export const getUser = cache(async () => {
const session = await verifySession()
if (!session) return null
try {
const data = await db.query.users.findMany({
where: eq(users.id, session.userId),
// ユーザーオブジェクト全体ではなく、必要な列を明示的に返す
columns: {
id: true,
name: true,
email: true,
},
})
const user = data[0]
return user
} catch (error) {
console.log('ユーザー情報の取得に失敗しました')
return null
}
})ヒント:
Data Transfer Objects(DTO)を使用する
データを取得する際は、アプリケーションで使用される必要なデータのみを返し、オブジェクト全体を返さないことが推奨されます。例えば、ユーザーデータを取得する場合、パスワード、電話番号などを含む可能性があるユーザーオブジェクト全体ではなく、ユーザーのIDと名前のみを返すことができます。
ただし、返されるデータ構造を制御できない、またはチーム内で作業していて、クライアントに全体的なオブジェクトが渡されるのを避けたい場合は、クライアントに安全に公開されるフィールドを指定するなどの戦略を使用できます。
import 'server-only'
import { getUser } from '@/app/lib/dal'
function canSeeUsername(viewer: User) {
return true
}
function canSeePhoneNumber(viewer: User, team: string) {
return viewer.isAdmin || team === viewer.team
}
export async function getProfileDTO(slug: string) {
const data = await db.query.users.findMany({
where: eq(users.slug, slug),
// ここで特定の列を返す
})
const user = data[0]
const currentUser = await getUser(user.id)
// またはここでクエリに特定のもののみを返す
return {
username: canSeeUsername(currentUser) ? user.username : null,
phonenumber: canSeePhoneNumber(currentUser, user.team)
? user.phonenumber
: null,
}
}データリクエストと認可ロジックをDALとDTOで一元化することで、すべてのデータリクエストが安全で一貫性があることを確認でき、アプリケーションがスケーリングするにつれて、メンテナンス、監査、デバッグが容易になります。
補足:
toJSON()を使用する、上記の例のような個別の関数、またはJSクラスなど、DTOを定義するいくつかの異なる方法があります。これらはReactまたはNext.jsの機能ではなくJavaScriptパターンなので、アプリケーションに最適なパターンを見つけるために調査することをお勧めします。- Next.jsのセキュリティに関する記事でセキュリティのベストプラクティスの詳細について学びます。
Server Components
Server Componentsでの認証チェックはロールベースのアクセスに役立ちます。例えば、ユーザーのロールに基づいてコンポーネントを条件付きでレンダリングする場合:
import { verifySession } from '@/app/lib/dal'
export default async function Dashboard() {
const session = await verifySession()
const userRole = session?.user?.role // 「role」がセッションオブジェクトの一部であると想定
if (userRole === 'admin') {
return <AdminDashboard />
} else if (userRole === 'user') {
return <UserDashboard />
} else {
redirect('/login')
}
}この例では、DALのverifySession()関数を使用して「admin」、「user」、および認可されていないロールをチェックします。このパターンは、各ユーザーがそのロールに適切なコンポーネントとのみやり取りすることを保証します。
Layoutsと認証チェック
部分的なレンダリングのため、これらはナビゲーション上でレンダリングされず、ユーザーセッションがルート変更のたびにチェックされないため、Layoutsでチェックを実行するときは注意が必要です。
代わりに、データソースまたは条件付きレンダリングされるコンポーネントの近くでチェックを実行する必要があります。
例えば、ユーザーデータを取得し、navでユーザー画像を表示する共有レイアウトを考える場合、レイアウトで認証チェックを実行する代わりに、レイアウトでユーザーデータ(getUser())を取得し、DALで認証チェックを実行する必要があります。
これにより、アプリケーション内でgetUser()が呼び出される場所がどこであっても認証チェックが実行されることが保証され、開発者が認可ユーザーがデータにアクセスしていることをチェックするのを忘れるのを防ぎます。
export default async function Layout({
children,
}: {
children: React.ReactNode;
}) {
const user = await getUser();
return (
// ...
)
}export const getUser = cache(async () => {
const session = await verifySession()
if (!session) return null
// セッションからユーザーIDを取得してデータを取得する
})補足:
- SPAの一般的なパターンは、ユーザーが認可されていない場合、レイアウトまたはトップレベルコンポーネントで
nullを返すことです。このパターンは推奨されません。Next.jsアプリケーションには複数のエントリポイントがあるため、ネストされたルートセグメントおよびServer Actionsがアクセスされるのを防ぎません。
Server Actions
Server Actionsを公開APIエンドポイントと同じセキュリティの考慮事項として扱い、ユーザーがミューテーションを実行できるかどうかを確認します。
下の例では、アクションの続行を許可する前にユーザーのロールをチェックします。
'use server'
import { verifySession } from '@/app/lib/dal'
export async function serverAction(formData: FormData) {
const session = await verifySession()
const userRole = session?.user?.role
// ユーザーがアクションを実行する権限がない場合は早期に返す
if (userRole !== 'admin') {
return null
}
// 認可されたユーザーのアクションを続行する
}Route Handlers
Route Handlersを公開APIエンドポイントと同じセキュリティの考慮事項として扱い、ユーザーがRoute Handlerにアクセスできるかどうかを確認します。
例えば:
import { verifySession } from '@/app/lib/dal'
export async function GET() {
// ユーザー認証とロール検証
const session = await verifySession()
// ユーザーが認証されているかどうかをチェックする
if (!session) {
// ユーザーは認証されていない
return new Response(null, { status: 401 })
}
// ユーザーが「admin」ロールを持っているかどうかをチェックする
if (session.user.role !== 'admin') {
// ユーザーは認証されていますが、適切な権限がない
return new Response(null, { status: 403 })
}
// 認可されたユーザーのために続行する
}上記の例は、認証と認可の2段階のセキュリティチェックを持つRoute Handlerを示しています。まずアクティブなセッションをチェックし、次にログインしたユーザーが「admin」であるかどうかを検証します。
Context Providers
相互運用性があるため、認証にContext Providersを使用します。ただし、ReactcontextはServer Componentsではサポートされていないため、Client Componentsにのみ適用できます。
これは機能しますが、すべての子Server Componentsはサーバー上でレンダリングされ、Context Providerのセッションデータにアクセスできません。
import { ContextProvider } from 'auth-lib'
export default function RootLayout({ children }) {
return (
<html lang="en">
<body>
<ContextProvider>{children}</ContextProvider>
</body>
</html>
)
}'use client';
import { useSession } from "auth-lib";
export default function Profile() {
const { userId } = useSession();
const { data } = useSWR(`/api/user/${userId}`, fetcher)
return (
// ...
);
}セッションデータがClient Components(例:クライアント側のデータ取得)で必要な場合、ReactのtaintUniqueValueAPIを使用して、機密セッションデータをクライアントに公開されるのを防ぎます。
リソース
Next.jsで認証について学んだので、セキュアな認証とセッション管理を実装するのに役立つNext.js互換ライブラリとリソースは以下の通りです。
認証ライブラリ
セッション管理ライブラリ
さらに詳しく読む
認証とセキュリティについて学び続けるには、以下のリソースを確認してください。