Menu

Next.jsにおける認証の実装方法

認証を理解することは、アプリケーションのデータを保護するために非常に重要です。このページでは、認証を実装するために使用すべきReactとNext.jsの機能について説明します。

始める前に、認証プロセスを3つの概念に分解すると理解しやすくなります:

  1. 認証: ユーザーが主張している通りの本人であることを確認します。ユーザー名とパスワードなど、ユーザーが所有しているものによってアイデンティティを証明する必要があります。
  2. セッション管理: リクエスト間でユーザーの認証状態を追跡します。
  3. 認可: ユーザーがアクセスできるルートとデータを決定します。

この図は、ReactとNext.jsの機能を使用した認証フローを示しています:

ReactとNext.jsの機能を使用した認証フローを示す図

このページの例では、教育目的でベーシックなユーザー名とパスワードの認証について説明します。カスタム認証ソリューションを実装することも可能ですが、セキュリティの向上と簡素化のために、認証ライブラリの使用をお勧めします。これらのライブラリは、認証、セッション管理、認可のビルトインソリューションに加えて、ソーシャルログイン、多要素認証、ロールベースのアクセス制御などの追加機能を提供します。詳しくは認証ライブラリセクションをご覧ください。

認証

サインアップとログイン機能

Reactの<form>要素とServer ActionsuseActionStateを使用して、ユーザー認証情報を取得し、フォームフィールドを検証し、認証プロバイダーのAPIまたはデータベースを呼び出すことができます。

Server Actionsは常にサーバー上で実行されるため、認証ロジックを処理するための安全な環境を提供します。

サインアップ/ログイン機能を実装するための手順は次のとおりです:

1. ユーザー認証情報の取得

ユーザー認証情報を取得するには、送信時にServer Actionを呼び出すフォームを作成します。例えば、ユーザーの名前、メール、パスワードを受け付けるサインアップフォーム:

app/ui/signup-form.tsx
TypeScript
import { signup } from '@/app/actions/auth'
 
export function SignupForm() {
  return (
    <form action={signup}>
      <div>
        <label htmlFor="name">Name</label>
        <input id="name" name="name" placeholder="Name" />
      </div>
      <div>
        <label htmlFor="email">Email</label>
        <input id="email" name="email" type="email" placeholder="Email" />
      </div>
      <div>
        <label htmlFor="password">Password</label>
        <input id="password" name="password" type="password" />
      </div>
      <button type="submit">Sign Up</button>
    </form>
  )
}
app/actions/auth.ts
TypeScript
export async function signup(formData: FormData) {}

2. サーバー上でのフォームフィールドの検証

Server Actionを使用して、サーバー上でフォームフィールドを検証します。認証プロバイダーがフォーム検証を提供していない場合は、ZodYupなどのスキーマ検証ライブラリを使用できます。

Zodを例として使用すると、適切なエラーメッセージを含むフォームスキーマを定義できます:

app/lib/definitions.ts
TypeScript
import { z } from 'zod'
 
export const SignupFormSchema = z.object({
  name: z
    .string()
    .min(2, { message: 'Name must be at least 2 characters long.' })
    .trim(),
  email: z.string().email({ message: 'Please enter a valid email.' }).trim(),
  password: z
    .string()
    .min(8, { message: 'Be at least 8 characters long' })
    .regex(/[a-zA-Z]/, { message: 'Contain at least one letter.' })
    .regex(/[0-9]/, { message: 'Contain at least one number.' })
    .regex(/[^a-zA-Z0-9]/, {
      message: 'Contain at least one special character.',
    })
    .trim(),
})
 
export type FormState =
  | {
      errors?: {
        name?: string[]
        email?: string[]
        password?: string[]
      }
      message?: string
    }
  | undefined

認証プロバイダーのAPIやデータベースへの不要な呼び出しを防ぐために、フォームフィールドが定義されたスキーマと一致しない場合はServer Actionで早期にreturnすることができます。

app/actions/auth.ts
TypeScript
import { SignupFormSchema, FormState } from '@/app/lib/definitions'
 
export async function signup(state: FormState, formData: FormData) {
  // フォームフィールドの検証
  const validatedFields = SignupFormSchema.safeParse({
    name: formData.get('name'),
    email: formData.get('email'),
    password: formData.get('password'),
  })
 
  // フォームフィールドが無効な場合は早期に返す
  if (!validatedFields.success) {
    return {
      errors: validatedFields.error.flatten().fieldErrors,
    }
  }
 
  // プロバイダーまたはデータベースを呼び出してユーザーを作成する...
}

<SignupForm />に戻って、ReactのuseActionStateフックを使用すると、フォーム送信中に検証エラーを表示できます:

app/ui/signup-form.tsx
TypeScript
'use client'
 
import { signup } from '@/app/actions/auth'
import { useActionState } from 'react'
 
export default function SignupForm() {
  const [state, action, pending] = useActionState(signup, undefined)
 
  return (
    <form action={action}>
      <div>
        <label htmlFor="name">Name</label>
        <input id="name" name="name" placeholder="Name" />
      </div>
      {state?.errors?.name && <p>{state.errors.name}</p>}
 
      <div>
        <label htmlFor="email">Email</label>
        <input id="email" name="email" placeholder="Email" />
      </div>
      {state?.errors?.email && <p>{state.errors.email}</p>}
 
      <div>
        <label htmlFor="password">Password</label>
        <input id="password" name="password" type="password" />
      </div>
      {state?.errors?.password && (
        <div>
          <p>Password must:</p>
          <ul>
            {state.errors.password.map((error) => (
              <li key={error}>- {error}</li>
            ))}
          </ul>
        </div>
      )}
      <button disabled={pending} type="submit">
        Sign Up
      </button>
    </form>
  )
}

補足:

  • React 19では、useFormStatusは返されるオブジェクトにdata、method、actionなどの追加キーが含まれています。React 19を使用していない場合は、pendingキーのみが利用可能です。
  • データを変更する前に、ユーザーがそのアクションを実行する権限を持っていることを常に確認する必要があります。認証と認可を参照してください。

3. ユーザーの作成またはユーザー認証情報の確認

フォームフィールドを検証した後、認証プロバイダーのAPIまたはデータベースを呼び出して、新しいユーザーアカウントを作成するか、ユーザーが存在するかどうかを確認できます。

前の例からの続き:

app/actions/auth.tsx
TypeScript
export async function signup(state: FormState, formData: FormData) {
  // 1. フォームフィールドの検証
  // ...
 
  // 2. データベースに挿入するためのデータ準備
  const { name, email, password } = validatedFields.data
  // 例:ユーザーのパスワードを保存する前にハッシュ化
  const hashedPassword = await bcrypt.hash(password, 10)
 
  // 3. ユーザーをデータベースに挿入するか、認証ライブラリのAPIを呼び出す
  const data = await db
    .insert(users)
    .values({
      name,
      email,
      password: hashedPassword,
    })
    .returning({ id: users.id })
 
  const user = data[0]
 
  if (!user) {
    return {
      message: 'An error occurred while creating your account.',
    }
  }
 
  // TODO:
  // 4. ユーザーセッションの作成
  // 5. ユーザーのリダイレクト
}

ユーザーアカウントの作成またはユーザー認証情報の確認に成功した後、ユーザーの認証状態を管理するためのセッションを作成できます。セッション管理戦略に応じて、セッションはCookieやデータベース、またはその両方に保存できます。詳細についてはセッション管理セクションを参照してください。

ヒント:

  • 上記の例は教育目的で認証手順を詳細に説明しているため冗長です。これは、独自の安全なソリューションの実装がすぐに複雑になる可能性があることを強調しています。プロセスを簡略化するために認証ライブラリの使用を検討してください。
  • ユーザー体験を向上させるために、登録フローの早い段階で重複するメールアドレスやユーザー名をチェックすることをお勧めします。例えば、ユーザーがユーザー名を入力している間や、入力フィールドがフォーカスを失った時などです。これにより、不要なフォーム送信を防ぎ、ユーザーに即時フィードバックを提供できます。use-debounceなどのライブラリを使用して、これらのチェックの頻度を管理するためにリクエストをデバウンスできます。

セッション管理

セッション管理は、ユーザーの認証状態がリクエスト間で保持されることを保証します。セッションやトークンの作成、保存、更新、削除が含まれます。

セッションには2種類あります:

  1. ステートレス: セッションデータ(またはトークン)はブラウザのCookieに保存されます。Cookieは各リクエストとともに送信され、サーバー上でセッションを検証できるようにします。この方法はシンプルですが、正しく実装されていないと安全性が低くなる可能性があります。
  2. データベース: セッションデータはデータベースに保存され、ユーザーのブラウザは暗号化されたセッションIDのみを受け取ります。この方法はより安全ですが、複雑でサーバーリソースを多く使用する可能性があります。

補足: どちらの方法も使用できますが、iron-sessionJoseなどのセッション管理ライブラリの使用をお勧めします。

ステートレスセッション

ステートレスセッションを作成および管理するには、いくつかの手順に従う必要があります:

  1. セッションの署名に使用する秘密鍵を生成し、環境変数として保存します。
  2. セッション管理ライブラリを使用して、セッションデータを暗号化/復号化するロジックを作成します。
  3. Next.jsのcookies APIを使用してCookieを管理します。

上記に加えて、ユーザーがアプリケーションに戻ったときにセッションを更新(または更新)する機能や、ユーザーがログアウトしたときにセッションを削除する機能を追加することを検討してください。

補足: 認証ライブラリにセッション管理が含まれているかどうかを確認してください。

1. 秘密鍵の生成

セッションに署名するための秘密鍵を生成するには、いくつかの方法があります。例えば、ターミナルでopensslコマンドを使用することもできます:

terminal
openssl rand -base64 32

このコマンドは、秘密鍵として使用できる32文字のランダムな文字列を生成し、環境変数ファイルに保存できます:

.env
SESSION_SECRET=your_secret_key

次に、セッション管理ロジックでこのキーを参照できます:

app/lib/session.js
const secretKey = process.env.SESSION_SECRET

2. セッションの暗号化と復号化

次に、好みのセッション管理ライブラリを使用して、セッションを暗号化および復号化できます。前の例から続いて、JoseEdgeランタイムと互換性あり)とReactのserver-onlyパッケージを使用して、セッション管理ロジックがサーバー上でのみ実行されることを確認します。

app/lib/session.ts
TypeScript
import 'server-only'
import { SignJWT, jwtVerify } from 'jose'
import { SessionPayload } from '@/app/lib/definitions'
 
const secretKey = process.env.SESSION_SECRET
const encodedKey = new TextEncoder().encode(secretKey)
 
export async function encrypt(payload: SessionPayload) {
  return new SignJWT(payload)
    .setProtectedHeader({ alg: 'HS256' })
    .setIssuedAt()
    .setExpirationTime('7d')
    .sign(encodedKey)
}
 
export async function decrypt(session: string | undefined = '') {
  try {
    const { payload } = await jwtVerify(session, encodedKey, {
      algorithms: ['HS256'],
    })
    return payload
  } catch (error) {
    console.log('Failed to verify session')
  }
}

ヒント:

  • ペイロードには、後続のリクエストで使用される最小限の、ユーザーIDやロールなどの一意のユーザーデータを含める必要があります。電話番号、メールアドレス、クレジットカード情報などの個人を特定できる情報や、パスワードなどの機密データを含めるべきではありません。

3. Cookieの設定(推奨オプション)

セッションをCookieに保存するには、Next.jsのcookies APIを使用します。Cookieはサーバー上で設定され、推奨オプションを含める必要があります:

  • HttpOnly: クライアント側のJavaScriptがCookieにアクセスするのを防ぎます。
  • Secure: httpsを使用してCookieを送信します。
  • SameSite: クロスサイトリクエストでCookieを送信できるかどうかを指定します。
  • Max-Age または Expires: 一定期間後にCookieを削除します。
  • Path: CookieのURLパスを定義します。

これらのオプションの詳細については、MDNを参照してください。

app/lib/session.ts
TypeScript
import 'server-only'
import { cookies } from 'next/headers'
 
export async function createSession(userId: string) {
  const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
  const session = await encrypt({ userId, expiresAt })
  const cookieStore = await cookies()
 
  cookieStore.set('session', session, {
    httpOnly: true,
    secure: true,
    expires: expiresAt,
    sameSite: 'lax',
    path: '/',
  })
}

Server Actionに戻って、createSession()関数を呼び出し、redirect() APIを使用してユーザーを適切なページにリダイレクトできます:

app/actions/auth.ts
TypeScript
import { createSession } from '@/app/lib/session'
 
export async function signup(state: FormState, formData: FormData) {
  // 前のステップ:
  // 1. フォームフィールドの検証
  // 2. データベースへの挿入のためのデータ準備
  // 3. ユーザーをデータベースに挿入またはライブラリAPIを呼び出す
 
  // 現在のステップ:
  // 4. ユーザーセッションの作成
  await createSession(user.id)
  // 5. ユーザーのリダイレクト
  redirect('/profile')
}

ヒント:

  • Cookieはサーバー上で設定する必要があります。クライアント側での改ざんを防ぐためです。
  • 🎥 視聴:Next.jsを使用したステートレスセッションと認証について詳しく学ぶ → YouTube(11分)

セッションの更新(またはリフレッシュ)

セッションの有効期限を延長することもできます。これは、ユーザーがアプリケーションに再度アクセスした後もログイン状態を維持するのに役立ちます。例えば:

app/lib/session.ts
TypeScript
import 'server-only'
import { cookies } from 'next/headers'
import { decrypt } from '@/app/lib/session'
 
export async function updateSession() {
  const session = (await cookies()).get('session')?.value
  const payload = await decrypt(session)
 
  if (!session || !payload) {
    return null
  }
 
  const expires = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
 
  const cookieStore = await cookies()
  cookieStore.set('session', session, {
    httpOnly: true,
    secure: true,
    expires: expires,
    sameSite: 'lax',
    path: '/',
  })
}

ヒント: 認証ライブラリがリフレッシュトークンをサポートしているかどうかを確認してください。リフレッシュトークンはユーザーのセッションを延長するために使用できます。

セッションの削除

セッションを削除するには、Cookieを削除します:

app/lib/session.ts
TypeScript
import 'server-only'
import { cookies } from 'next/headers'
 
export async function deleteSession() {
  const cookieStore = await cookies()
  cookieStore.delete('session')
}

その後、アプリケーションでdeleteSession()関数を再利用できます。例えば、ログアウト時に:

app/actions/auth.ts
TypeScript
import { cookies } from 'next/headers'
import { deleteSession } from '@/app/lib/session'
 
export async function logout() {
  deleteSession()
  redirect('/login')
}

データベースセッション

データベースセッションを作成および管理するには、次の手順に従う必要があります:

  1. セッションとデータを保存するためのテーブルをデータベースに作成します(または認証ライブラリがこれを処理するかどうかを確認します)。
  2. セッションの挿入、更新、削除の機能を実装します。
  3. セッションIDをユーザーのブラウザに保存する前に暗号化し、データベースとCookieが同期していることを確認します(これはオプションですが、ミドルウェアでの楽観的な認証チェックには推奨されます)。

例えば:

app/lib/session.ts
TypeScript
import cookies from 'next/headers'
import { db } from '@/app/lib/db'
import { encrypt } from '@/app/lib/session'
 
export async function createSession(id: number) {
  const expiresAt = new Date(Date.now() + 7 * 24 * 60 * 60 * 1000)
 
  // 1. データベースにセッションを作成
  const data = await db
    .insert(sessions)
    .values({
      userId: id,
      expiresAt,
    })
    // セッションIDを返す
    .returning({ id: sessions.id })
 
  const sessionId = data[0].id
 
  // 2. セッションIDを暗号化
  const session = await encrypt({ sessionId, expiresAt })
 
  // 3. 楽観的な認証チェックのためにCookieにセッションを保存
  const cookieStore = await cookies()
  cookieStore.set('session', session, {
    httpOnly: true,
    secure: true,
    expires: expiresAt,
    sameSite: 'lax',
    path: '/',
  })
}

ヒント:

  • より高速なアクセスを実現するために、セッションの有効期間中はサーバーキャッシュを追加することを検討するとよいでしょう。また、セッションデータをプライマリデータベースに保存し、データリクエストを組み合わせることでクエリ数を削減することもできます。
  • ユーザーの最終ログイン時間の追跡や、アクティブなデバイス数の管理、すべてのデバイスからログアウトする機能をユーザーに提供するなど、より高度なユースケースにはデータベースセッションの使用を選択することもできます。

セッション管理を実装した後、アプリケーション内でユーザーがアクセスして実行できることを制御する認可ロジックを追加する必要があります。詳細については認可セクションを参照してください。

認可

ユーザーが認証され、セッションが作成されると、認可を実装してユーザーがアプリケーション内でアクセスして実行できることを制御できます。

認可チェックには主に2種類あります:

  1. 楽観的: Cookieに保存されているセッションデータを使用して、ユーザーがルートにアクセスするかアクションを実行する権限があるかどうかをチェックします。これらのチェックは、UIの要素の表示/非表示や、権限やロールに基づいてユーザーをリダイレクトするなどの迅速な操作に役立ちます。
  2. 安全: データベースに保存されているセッションデータを使用して、ユーザーがルートにアクセスするかアクションを実行する権限があるかどうかをチェックします。これらのチェックはより安全であり、機密データへのアクセスやアクションが必要な操作に使用されます。

どちらの場合も、次のことをお勧めします:

ミドルウェアによる楽観的チェック(オプション)

ミドルウェアを使用して権限に基づいてユーザーをリダイレクトしたい場合があります:

  • 楽観的チェックを実行するため。ミドルウェアはすべてのルートで実行されるため、リダイレクトロジックを一元化し、権限のないユーザーを事前にフィルタリングするのに適しています。
  • ユーザー間でデータを共有する静的ルート(例:ペイウォールの背後にあるコンテンツ)を保護するため。

ただし、ミドルウェアはすべてのルート(プリフェッチされたルートを含む)で実行されるため、パフォーマンスの問題を防ぐために、Cookieからセッション(楽観的チェック)を読み取るだけにし、データベースチェックを避けることが重要です。

例えば:

middleware.ts
TypeScript
import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'
 
// 1. 保護されたルートと公開ルートを指定
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']
 
export default async function middleware(req: NextRequest) {
  // 2. 現在のルートが保護されているか公開かを確認
  const path = req.nextUrl.pathname
  const isProtectedRoute = protectedRoutes.includes(path)
  const isPublicRoute = publicRoutes.includes(path)
 
  // 3. Cookieからセッションを復号化
  const cookie = (await cookies()).get('session')?.value
  const session = await decrypt(cookie)
 
  // 4. ユーザーが認証されていない場合は/loginにリダイレクト
  if (isProtectedRoute && !session?.userId) {
    return NextResponse.redirect(new URL('/login', req.nextUrl))
  }
 
  // 5. ユーザーが認証されている場合は/dashboardにリダイレクト
  if (
    isPublicRoute &&
    session?.userId &&
    !req.nextUrl.pathname.startsWith('/dashboard')
  ) {
    return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
  }
 
  return NextResponse.next()
}
 
// ミドルウェアが実行されるべきではないルート
export const config = {
  matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}

ミドルウェアは初期チェックに役立ちますが、データを保護するための唯一の防御線であってはなりません。セキュリティチェックの大部分は、データソースにできるだけ近い場所で実行する必要があります。詳細についてはデータアクセスレイヤーを参照してください。

ヒント:

  • ミドルウェアでは、req.cookies.get('session').valueを使用してCookieを読み取ることもできます。
  • ミドルウェアはEdgeランタイムを使用します。認証ライブラリとセッション管理ライブラリが互換性があるかどうかを確認してください。
  • ミドルウェアのmatcherプロパティを使用して、ミドルウェアが実行されるルートを指定できます。ただし、認証の場合は、ミドルウェアがすべてのルートで実行されることをお勧めします。

データアクセスレイヤー(DAL)の作成

データリクエストと認可ロジックを一元化するために、DALの作成をお勧めします。

DALには、ユーザーがアプリケーションと対話するときにユーザーのセッションを検証する関数を含める必要があります。少なくとも、その関数はセッションが有効かどうかをチェックし、その後リダイレクトするか、さらなるリクエストを行うために必要なユーザー情報を返す必要があります。

例えば、verifySession()関数を含むDAL用の別のファイルを作成します。次に、Reactのcache APIを使用して、Reactのレンダリングパス中に関数の戻り値をメモ化します:

app/lib/dal.ts
TypeScript
import 'server-only'
 
import { cookies } from 'next/headers'
import { decrypt } from '@/app/lib/session'
 
export const verifySession = cache(async () => {
  const cookie = (await cookies()).get('session')?.value
  const session = await decrypt(cookie)
 
  if (!session?.userId) {
    redirect('/login')
  }
 
  return { isAuth: true, userId: session.userId }
})

その後、データリクエスト、Server Actions、Route HandlersでverifySession()関数を呼び出すことができます:

app/lib/dal.ts
TypeScript
export const getUser = cache(async () => {
  const session = await verifySession()
  if (!session) return null
 
  try {
    const data = await db.query.users.findMany({
      where: eq(users.id, session.userId),
      // ユーザーオブジェクト全体ではなく、必要な列のみを明示的に返す
      columns: {
        id: true,
        name: true,
        email: true,
      },
    })
 
    const user = data[0]
 
    return user
  } catch (error) {
    console.log('Failed to fetch user')
    return null
  }
})

ヒント:

  • DALはリクエスト時に取得されるデータを保護するために使用できます。ただし、ユーザー間でデータを共有する静的ルートの場合、データはリクエスト時ではなくビルド時に取得されます。静的ルートを保護するにはミドルウェアを使用してください。
  • 安全なチェックでは、セッションIDをデータベースと比較することで、セッションが有効かどうかを確認できます。レンダリングパス中に不要な重複データベースリクエストを避けるために、Reactのcache関数を使用してください。
  • メソッドを実行する前にverifySession()を実行するJavaScriptクラスで関連するデータリクエストを統合することもできます。

データ転送オブジェクト(DTO)の使用

データを取得する際は、アプリケーションで使用される必要なデータのみを返し、オブジェクト全体は返さないことをお勧めします。例えば、ユーザーデータを取得する場合、パスワードや電話番号などを含むユーザーオブジェクト全体ではなく、ユーザーのIDと名前のみを返すことがあります。

ただし、返されるデータ構造を制御できない場合や、クライアントに全体のオブジェクトが渡されることを避けたいチームで作業している場合は、クライアントに公開しても安全なフィールドを指定するなどの戦略を使用できます。

app/lib/dto.ts
TypeScript
import 'server-only'
import { getUser } from '@/app/lib/dal'
 
function canSeeUsername(viewer: User) {
  return true
}
 
function canSeePhoneNumber(viewer: User, team: string) {
  return viewer.isAdmin || team === viewer.team
}
 
export async function getProfileDTO(slug: string) {
  const data = await db.query.users.findMany({
    where: eq(users.slug, slug),
    // ここで特定の列を返す
  })
  const user = data[0]
 
  const currentUser = await getUser(user.id)
 
  // またはクエリに特化したものだけをここで返す
  return {
    username: canSeeUsername(currentUser) ? user.username : null,
    phonenumber: canSeePhoneNumber(currentUser, user.team)
      ? user.phonenumber
      : null,
  }
}

DALでデータリクエストと認可ロジックを一元化し、DTOを使用することにより、すべてのデータリクエストが安全で一貫していることを確保し、アプリケーションが拡張するにつれて保守、監査、デバッグが容易になります。

補足:

  • DTOを定義するにはいくつかの方法があります。toJSON()の使用から、上記の例のような個別の関数、またはJSクラスまで様々です。これらはReactやNext.jsの機能ではなくJavaScriptのパターンなので、アプリケーションに最適なパターンを見つけるためにリサーチすることをお勧めします。
  • Next.jsのセキュリティに関する記事でセキュリティのベストプラクティスについて詳しく学んでください。

サーバーコンポーネント

サーバーコンポーネントでの認証チェックは、ロールベースのアクセスに役立ちます。例えば、ユーザーのロールに基づいてコンポーネントを条件付きでレンダリングする:

app/dashboard/page.tsx
TypeScript
import { verifySession } from '@/app/lib/dal'
 
export default function Dashboard() {
  const session = await verifySession()
  const userRole = session?.user?.role // セッションオブジェクトに'role'が含まれていると仮定
 
  if (userRole === 'admin') {
    return <AdminDashboard />
  } else if (userRole === 'user') {
    return <UserDashboard />
  } else {
    redirect('/login')
  }
}

この例では、DALのverifySession()関数を使用して、「admin」、「user」、および権限のないロールをチェックしています。このパターンにより、各ユーザーが自分のロールに適したコンポーネントとのみ対話することが保証されます。

レイアウトと認証チェック

部分的レンダリングのため、レイアウトでのチェックには注意が必要です。レイアウトはナビゲーション時に再レンダリングされないため、ユーザーセッションはすべてのルート変更でチェックされません。

代わりに、データソースまたは条件付きでレンダリングされるコンポーネントに近い場所でチェックを行うべきです。

例えば、ユーザーデータを取得しナビゲーションにユーザー画像を表示する共有レイアウトを考えてみましょう。レイアウト内で認証チェックを行うのではなく、レイアウト内でユーザーデータ(getUser())を取得し、DALで認証チェックを行うべきです。

これにより、アプリケーション内のどこでgetUser()が呼び出されても認証チェックが実行され、開発者がユーザーのデータアクセス権限の確認を忘れることを防ぎます。

app/layout.tsx
TypeScript
export default async function Layout({
  children,
}: {
  children: React.ReactNode;
}) {
  const user = await getUser();
 
  return (
    // ...
  )
}
app/lib/dal.ts
TypeScript
export const getUser = cache(async () => {
  const session = await verifySession()
  if (!session) return null
 
  // セッションからユーザーIDを取得してデータをフェッチ
})

補足:

  • SPAでよく見られるパターンは、ユーザーが認証されていない場合にレイアウトやトップレベルのコンポーネントでreturn nullすることです。このパターンは推奨されません。Next.jsアプリケーションには複数のエントリーポイントがあるため、ネストされたルートセグメントやServer Actionsへのアクセスを防ぐことができません。

Server Actions

Server Actionsは、公開APIエンドポイントと同じセキュリティ上の考慮事項で扱い、ユーザーがミューテーションを実行できるかどうかを確認します。

以下の例では、アクションを進める前にユーザーのロールをチェックしています:

app/lib/actions.ts
TypeScript
'use server'
import { verifySession } from '@/app/lib/dal'
 
export async function serverAction(formData: FormData) {
  const session = await verifySession()
  const userRole = session?.user?.role
 
  // ユーザーがアクションを実行する権限がない場合は早期に返す
  if (userRole !== 'admin') {
    return null
  }
 
  // 権限のあるユーザーに対してアクションを進める
}

Route Handlers

Route Handlersは、公開APIエンドポイントと同じセキュリティ上の考慮事項で扱い、ユーザーがRoute Handlerにアクセスできるかどうかを確認します。

例えば:

app/api/route.ts
TypeScript
import { verifySession } from '@/app/lib/dal'
 
export async function GET() {
  // ユーザー認証とロール検証
  const session = await verifySession()
 
  // ユーザーが認証されているか確認
  if (!session) {
    // ユーザーは認証されていない
    return new Response(null, { status: 401 })
  }
 
  // ユーザーが「admin」ロールを持っているか確認
  if (session.user.role !== 'admin') {
    // ユーザーは認証されているが、適切な権限を持っていない
    return new Response(null, { status: 403 })
  }
 
  // 権限のあるユーザーに対して続行
}

上記の例では、2段階のセキュリティチェックを持つRoute Handlerを示しています。まずアクティブなセッションをチェックし、次にログインしているユーザーが「admin」であることを確認します。

コンテキストプロバイダー

認証のためのコンテキストプロバイダーの使用は、インターリービングのために機能します。ただし、React contextはServer Componentsではサポートされていないため、Client Componentsにのみ適用できます。

これは機能しますが、子のServer Componentsはサーバー上で最初にレンダリングされ、コンテキストプロバイダーのセッションデータにアクセスできません:

app/layout.ts
TypeScript
import { ContextProvider } from 'auth-lib'
 
export default function RootLayout({ children }) {
  return (
    <html lang="en">
      <body>
        <ContextProvider>{children}</ContextProvider>
      </body>
    </html>
  )
}
app/ui/profile.ts
TypeScript
"use client";
 
import { useSession } from "auth-lib";
 
export default function Profile() {
  const { userId } = useSession();
  const { data } = useSWR(`/api/user/${userId}`, fetcher)
 
  return (
    // ...
  );
}

Client Components内でセッションデータが必要な場合(例:クライアント側のデータフェッチング)、ReactのtaintUniqueValue APIを使用して、機密セッションデータがクライアントに公開されないようにします。

リソース

Next.jsでの認証について学んだところで、安全な認証とセッション管理を実装するためのNext.js互換ライブラリとリソースをご紹介します:

認証ライブラリ

セッション管理ライブラリ

さらに読む

認証とセキュリティについてさらに学ぶには、以下のリソースをチェックしてください: