認証
アプリケーションのデータを保護するためには認証の理解が不可欠です。このページでは、認証を実装するために使用すべきReactとNext.jsの機能について説明します。
始める前に、このプロセスを3つの概念に分解すると理解しやすくなります:
- 認証: ユーザーが本人であることを確認します。ユーザー名とパスワードなど、ユーザーが持っているものを使用してIDを証明する必要があります。
- セッション管理: リクエスト間でユーザーの認証状態を追跡します。
- 認可: ユーザーがアクセスできるルートとデータを決定します。
この図はReactとNext.jsの機能を使用した認証フローを示しています:
このページの例では、教育目的で基本的なユーザー名とパスワードによる認証について説明します。カスタム認証ソリューションを実装することもできますが、セキュリティの強化と簡素化のために、認証ライブラリの使用をお勧めします。これらのライブラリは、認証、セッション管理、認可のための組み込みソリューションに加えて、ソーシャルログイン、多要素認証、ロールベースのアクセス制御などの追加機能も提供しています。認証ライブラリセクションでリストを確認できます。
認証
サインアップおよび/またはログインフォームを実装するためのステップは次のとおりです:
- ユーザーがフォームを通じて認証情報を送信します。
- フォームはAPIルートで処理されるリクエストを送信します。
- 検証が成功すると、プロセスが完了し、ユーザーの認証が成功したことを示します。
- 検証が失敗した場合は、エラーメッセージが表示されます。
ユーザーが認証情報を入力できるログインフォームを考えてみましょう:
import { FormEvent } from 'react'
import { useRouter } from 'next/router'
export default function LoginPage() {
const router = useRouter()
async function handleSubmit(event: FormEvent<HTMLFormElement>) {
event.preventDefault()
const formData = new FormData(event.currentTarget)
const email = formData.get('email')
const password = formData.get('password')
const response = await fetch('/api/auth/login', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ email, password }),
})
if (response.ok) {
router.push('/profile')
} else {
// Handle errors
}
}
return (
<form onSubmit={handleSubmit}>
<input type="email" name="email" placeholder="Email" required />
<input type="password" name="password" placeholder="Password" required />
<button type="submit">Login</button>
</form>
)
}
上記のフォームには、ユーザーのメールとパスワードを取得するための2つの入力フィールドがあります。送信時に、APIルート(/api/auth/login
)にPOSTリクエストを送信する関数が起動します。
APIルートで認証プロバイダーのAPIを呼び出して認証を処理できます:
import type { NextApiRequest, NextApiResponse } from 'next'
import { signIn } from '@/auth'
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
try {
const { email, password } = req.body
await signIn('credentials', { email, password })
res.status(200).json({ success: true })
} catch (error) {
if (error.type === 'CredentialsSignin') {
res.status(401).json({ error: 'Invalid credentials.' })
} else {
res.status(500).json({ error: 'Something went wrong.' })
}
}
}
セッション管理
セッション管理は、ユーザーの認証状態がリクエスト間で保持されることを保証します。これには、セッションやトークンの作成、保存、更新、削除が含まれます。
セッションには2種類あります:
- ステートレス: セッションデータ(またはトークン)がブラウザのクッキーに保存されます。クッキーは各リクエストと共に送信され、サーバー上でセッションを検証できるようにします。この方法はよりシンプルですが、正しく実装されていない場合はセキュリティが低下する可能性があります。
- データベース: セッションデータはデータベースに保存され、ユーザーのブラウザは暗号化されたセッションIDのみを受け取ります。この方法はより安全ですが、複雑でサーバーリソースをより多く使用する可能性があります。
補足: どちらの方法も使用できますが、iron-sessionやJoseなどのセッション管理ライブラリの使用をお勧めします。
ステートレスセッション
クッキーの設定と削除
APIルートを使用して、サーバー上でセッションをクッキーとして設定できます:
import { serialize } from 'cookie'
import type { NextApiRequest, NextApiResponse } from 'next'
import { encrypt } from '@/app/lib/session'
export default function handler(req: NextApiRequest, res: NextApiResponse) {
const sessionData = req.body
const encryptedSessionData = encrypt(sessionData)
const cookie = serialize('session', encryptedSessionData, {
httpOnly: true,
secure: process.env.NODE_ENV === 'production',
maxAge: 60 * 60 * 24 * 7, // 1週間
path: '/',
})
res.setHeader('Set-Cookie', cookie)
res.status(200).json({ message: 'Successfully set cookie!' })
}
データベースセッション
データベースセッションを作成および管理するには、次のステップを実行する必要があります:
- データベースにセッションとデータを保存するためのテーブルを作成します(または認証ライブラリがこれを処理するかどうかを確認します)。
- セッションの挿入、更新、削除の機能を実装します。
- ユーザーのブラウザに保存する前にセッションIDを暗号化し、データベースとクッキーが同期した状態を維持します(これはオプションですが、ミドルウェアでの楽観的な認証チェックにはお勧めです)。
サーバーでのセッションの作成:
import db from '../../lib/db'
import type { NextApiRequest, NextApiResponse } from 'next'
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
try {
const user = req.body
const sessionId = generateSessionId()
await db.insertSession({
sessionId,
userId: user.id,
createdAt: new Date(),
})
res.status(200).json({ sessionId })
} catch (error) {
res.status(500).json({ error: 'Internal Server Error' })
}
}
認可
ユーザーが認証され、セッションが作成されると、ユーザーがアプリケーション内でアクセスできる内容やできることを制御するための認可を実装できます。
認可チェックには主に2つのタイプがあります:
- 楽観的: クッキーに保存されているセッションデータを使用して、ユーザーがルートにアクセスしたりアクションを実行したりする権限があるかどうかをチェックします。これらのチェックは、UI要素の表示/非表示や、権限やロールに基づいてユーザーをリダイレクトするなどの迅速な操作に役立ちます。
- 安全: データベースに保存されているセッションデータを使用して、ユーザーがルートにアクセスしたりアクションを実行したりする権限があるかどうかをチェックします。これらのチェックはより安全で、機密データへのアクセスやアクションが必要な操作に使用されます。
両方のケースで以下を推奨します:
- 認可ロジックを一元化するためのデータアクセスレイヤーの作成
- 必要なデータのみを返すためのデータ転送オブジェクト(DTO)の使用
- オプションで楽観的チェックを実行するためのミドルウェアの使用
ミドルウェアを使用した楽観的チェック(オプション)
ミドルウェアを使用して権限に基づいてユーザーをリダイレクトしたい場合があります:
- 楽観的チェックを実行するため。ミドルウェアはすべてのルートで実行されるため、リダイレクトロジックを一元化し、権限のないユーザーを事前にフィルタリングするには良い方法です。
- ユーザー間でデータを共有する静的ルート(例:ペイウォール背後のコンテンツ)を保護するため。
しかし、ミドルウェアはプリフェッチされたルートを含むすべてのルートで実行されるため、パフォーマンスの問題を防ぐために、クッキーからセッションを読み取るだけ(楽観的チェック)にし、データベースチェックを避けることが重要です。
例えば:
import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'
// 1. 保護対象と公開ルートを指定
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']
export default async function middleware(req: NextRequest) {
// 2. 現在のルートが保護対象か公開かをチェック
const path = req.nextUrl.pathname
const isProtectedRoute = protectedRoutes.includes(path)
const isPublicRoute = publicRoutes.includes(path)
// 3. クッキーからセッションを復号化
const cookie = (await cookies()).get('session')?.value
const session = await decrypt(cookie)
// 4. ユーザーが認証されていない場合は/loginにリダイレクト
if (isProtectedRoute && !session?.userId) {
return NextResponse.redirect(new URL('/login', req.nextUrl))
}
// 5. ユーザーが認証されている場合は/dashboardにリダイレクト
if (
isPublicRoute &&
session?.userId &&
!req.nextUrl.pathname.startsWith('/dashboard')
) {
return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
}
return NextResponse.next()
}
// ミドルウェアを実行しないルート
export const config = {
matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}
ミドルウェアは初期チェックに役立ちますが、データを保護するための唯一の防御線であるべきではありません。セキュリティチェックの大部分は、データソースにできるだけ近い場所で実行する必要があります。詳細についてはデータアクセスレイヤーを参照してください。
ヒント:
- ミドルウェアでは、
req.cookies.get('session').value
を使用してクッキーを読み取ることもできます。- ミドルウェアはEdge Runtimeを使用します。認証ライブラリとセッション管理ライブラリが互換性があるかどうかを確認してください。
- ミドルウェアの
matcher
プロパティを使用して、ミドルウェアを実行するルートを指定できます。ただし、認証の場合、ミドルウェアがすべてのルートで実行されることをお勧めします。
データアクセスレイヤー(DAL)の作成
APIルートの保護
Next.jsのAPIルートは、サーバーサイドロジックとデータ管理を処理するために不可欠です。特定の機能に権限のあるユーザーのみがアクセスできるようにするため、これらのルートを保護することが重要です。これには通常、ユーザーの認証状態とロールベースの権限を検証することが含まれます。
APIルートを保護する例を以下に示します:
import { NextApiRequest, NextApiResponse } from 'next'
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
const session = await getSession(req)
// ユーザーが認証されているかどうかを確認
if (!session) {
res.status(401).json({
error: 'User is not authenticated',
})
return
}
// ユーザーが'admin'ロールを持っているかどうかを確認
if (session.user.role !== 'admin') {
res.status(401).json({
error: 'Unauthorized access: User does not have admin privileges.',
})
return
}
// 権限のあるユーザーに対してルートを続行
// ... APIルートの実装
}
この例は、認証と認可のための二段階のセキュリティチェックを持つAPIルートを示しています。まず、アクティブなセッションがあるかどうかをチェックし、次にログインしているユーザーが'admin'であるかどうかを確認します。このアプローチは、認証され権限を持つユーザーに制限されたセキュアなアクセスを確保し、リクエスト処理のための堅牢なセキュリティを維持します。
リソース
Next.jsでの認証について学んだところで、セキュアな認証とセッション管理を実装するためのNext.js互換ライブラリとリソースを紹介します:
認証ライブラリ
セッション管理ライブラリ
参考文献
認証とセキュリティについてさらに学ぶには、以下のリソースをご確認ください: