Menu

Next.jsでの認証の実装方法

認証を理解することは、アプリケーションのデータを保護するために非常に重要です。このページでは、認証を実装するために使用すべきReactとNext.jsの機能について説明します。

始める前に、認証プロセスを3つの概念に分解すると理解しやすくなります:

  1. 認証: ユーザーが主張している通りの本人であることを確認します。ユーザー名とパスワードなど、ユーザーが所有しているものによってアイデンティティを証明する必要があります。
  2. セッション管理: リクエスト間でユーザーの認証状態を追跡します。
  3. 認可: ユーザーがアクセスできるルートとデータを決定します。

この図は、ReactとNext.jsの機能を使用した認証フローを示しています:

ReactとNext.jsの機能を使用した認証フローを示す図

このページの例では、教育目的でベーシックなユーザー名とパスワードの認証について説明します。カスタム認証ソリューションを実装することも可能ですが、セキュリティの向上と簡素化のために、認証ライブラリの使用をお勧めします。これらのライブラリは、認証、セッション管理、認可のビルトインソリューションに加えて、ソーシャルログイン、多要素認証、ロールベースのアクセス制御などの追加機能を提供します。詳しくは認証ライブラリセクションをご覧ください。

認証

サインアップおよび/またはログインフォームを実装する手順は次のとおりです:

  1. ユーザーがフォームを通じて認証情報を送信します。
  2. フォームはAPIルートで処理されるリクエストを送信します。
  3. 検証が成功すると、プロセスが完了し、ユーザーの認証が成功したことを示します。
  4. 検証が失敗した場合は、エラーメッセージが表示されます。

ユーザーが認証情報を入力できるログインフォームの例を考えてみましょう:

pages/login.tsx
TypeScript
import { FormEvent } from 'react'
import { useRouter } from 'next/router'
 
export default function LoginPage() {
  const router = useRouter()
 
  async function handleSubmit(event: FormEvent<HTMLFormElement>) {
    event.preventDefault()
 
    const formData = new FormData(event.currentTarget)
    const email = formData.get('email')
    const password = formData.get('password')
 
    const response = await fetch('/api/auth/login', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ email, password }),
    })
 
    if (response.ok) {
      router.push('/profile')
    } else {
      // エラー処理
    }
  }
 
  return (
    <form onSubmit={handleSubmit}>
      <input type="email" name="email" placeholder="Email" required />
      <input type="password" name="password" placeholder="Password" required />
      <button type="submit">Login</button>
    </form>
  )
}

上記のフォームには、ユーザーのメールとパスワードを取得するための2つの入力フィールドがあります。送信時に、APIルート(/api/auth/login)にPOSTリクエストを送信する関数がトリガーされます。

APIルートで認証を処理するために認証プロバイダーのAPIを呼び出すことができます:

pages/api/auth/login.ts
TypeScript
import type { NextApiRequest, NextApiResponse } from 'next'
import { signIn } from '@/auth'
 
export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  try {
    const { email, password } = req.body
    await signIn('credentials', { email, password })
 
    res.status(200).json({ success: true })
  } catch (error) {
    if (error.type === 'CredentialsSignin') {
      res.status(401).json({ error: 'Invalid credentials.' })
    } else {
      res.status(500).json({ error: 'Something went wrong.' })
    }
  }
}

セッション管理

セッション管理は、ユーザーの認証状態がリクエスト間で保持されることを保証します。セッションやトークンの作成、保存、更新、削除が含まれます。

セッションには2種類あります:

  1. ステートレス: セッションデータ(またはトークン)はブラウザのCookieに保存されます。Cookieは各リクエストとともに送信され、サーバー上でセッションを検証できるようにします。この方法はシンプルですが、正しく実装されていないと安全性が低くなる可能性があります。
  2. データベース: セッションデータはデータベースに保存され、ユーザーのブラウザは暗号化されたセッションIDのみを受け取ります。この方法はより安全ですが、複雑でサーバーリソースを多く使用する可能性があります。

補足: どちらの方法も使用できますが、iron-sessionJoseなどのセッション管理ライブラリの使用をお勧めします。

ステートレスセッション

Cookieの設定と削除

APIルートを使用して、サーバー上でセッションをCookieとして設定できます:

pages/api/login.ts
TypeScript
import { serialize } from 'cookie'
import type { NextApiRequest, NextApiResponse } from 'next'
import { encrypt } from '@/app/lib/session'
 
export default function handler(req: NextApiRequest, res: NextApiResponse) {
  const sessionData = req.body
  const encryptedSessionData = encrypt(sessionData)
 
  const cookie = serialize('session', encryptedSessionData, {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    maxAge: 60 * 60 * 24 * 7, // 1週間
    path: '/',
  })
  res.setHeader('Set-Cookie', cookie)
  res.status(200).json({ message: 'Successfully set cookie!' })
}

データベースセッション

データベースセッションを作成および管理するには、次の手順に従う必要があります:

  1. セッションとデータを保存するためのテーブルをデータベースに作成します(または認証ライブラリがこれを処理するかどうかを確認します)。
  2. セッションの挿入、更新、削除の機能を実装します。
  3. セッションIDをユーザーのブラウザに保存する前に暗号化し、データベースとCookieが同期していることを確認します(これはオプションですが、ミドルウェアでの楽観的な認証チェックには推奨されます)。

サーバー上でのセッションの作成:

pages/api/create-session.ts
TypeScript
import db from '../../lib/db'
import type { NextApiRequest, NextApiResponse } from 'next'
 
export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  try {
    const user = req.body
    const sessionId = generateSessionId()
    await db.insertSession({
      sessionId,
      userId: user.id,
      createdAt: new Date(),
    })
 
    res.status(200).json({ sessionId })
  } catch (error) {
    res.status(500).json({ error: 'Internal Server Error' })
  }
}

認可

ユーザーが認証され、セッションが作成されると、認可を実装してユーザーがアプリケーション内でアクセスして実行できることを制御できます。

認可チェックには主に2種類あります:

  1. 楽観的: Cookieに保存されているセッションデータを使用して、ユーザーがルートにアクセスするかアクションを実行する権限があるかどうかをチェックします。これらのチェックは、UIの要素の表示/非表示や、権限やロールに基づいてユーザーをリダイレクトするなどの迅速な操作に役立ちます。
  2. 安全: データベースに保存されているセッションデータを使用して、ユーザーがルートにアクセスするかアクションを実行する権限があるかどうかをチェックします。これらのチェックはより安全であり、機密データへのアクセスやアクションが必要な操作に使用されます。

どちらの場合も、次のことをお勧めします:

ミドルウェアによる楽観的チェック(オプション)

ミドルウェアを使用して権限に基づいてユーザーをリダイレクトしたい場合があります:

  • 楽観的チェックを実行するため。ミドルウェアはすべてのルートで実行されるため、リダイレクトロジックを一元化し、権限のないユーザーを事前にフィルタリングするのに適しています。
  • ユーザー間でデータを共有する静的ルート(例:ペイウォールの背後にあるコンテンツ)を保護するため。

ただし、ミドルウェアはすべてのルート(プリフェッチされたルートを含む)で実行されるため、パフォーマンスの問題を防ぐために、Cookieからセッション(楽観的チェック)を読み取るだけにし、データベースチェックを避けることが重要です。

例えば:

middleware.ts
TypeScript
import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'
 
// 1. 保護されたルートと公開ルートを指定
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']
 
export default async function middleware(req: NextRequest) {
  // 2. 現在のルートが保護されているか公開かを確認
  const path = req.nextUrl.pathname
  const isProtectedRoute = protectedRoutes.includes(path)
  const isPublicRoute = publicRoutes.includes(path)
 
  // 3. Cookieからセッションを復号化
  const cookie = (await cookies()).get('session')?.value
  const session = await decrypt(cookie)
 
  // 4. ユーザーが認証されていない場合は/loginにリダイレクト
  if (isProtectedRoute && !session?.userId) {
    return NextResponse.redirect(new URL('/login', req.nextUrl))
  }
 
  // 5. ユーザーが認証されている場合は/dashboardにリダイレクト
  if (
    isPublicRoute &&
    session?.userId &&
    !req.nextUrl.pathname.startsWith('/dashboard')
  ) {
    return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
  }
 
  return NextResponse.next()
}
 
// ミドルウェアが実行されるべきではないルート
export const config = {
  matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}

ミドルウェアは初期チェックに役立ちますが、データを保護するための唯一の防御線であってはなりません。セキュリティチェックの大部分は、データソースにできるだけ近い場所で実行する必要があります。詳細についてはデータアクセスレイヤーを参照してください。

ヒント:

  • ミドルウェアでは、req.cookies.get('session').valueを使用してCookieを読み取ることもできます。
  • ミドルウェアはEdgeランタイムを使用します。認証ライブラリとセッション管理ライブラリが互換性があるかどうかを確認してください。
  • ミドルウェアのmatcherプロパティを使用して、ミドルウェアが実行されるルートを指定できます。ただし、認証の場合は、ミドルウェアがすべてのルートで実行されることをお勧めします。

データアクセスレイヤー(DAL)の作成

APIルートの保護

Next.jsのAPIルートは、サーバーサイドロジックとデータ管理を処理するために不可欠です。特定の機能に認証されたユーザーのみがアクセスできるように、これらのルートを保護することが重要です。これには通常、ユーザーの認証状態とロールベースの権限の検証が含まれます。

APIルートを保護する例を示します:

pages/api/route.ts
TypeScript
import { NextApiRequest, NextApiResponse } from 'next'
 
export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  const session = await getSession(req)
 
  // ユーザーが認証されているか確認
  if (!session) {
    res.status(401).json({
      error: 'User is not authenticated',
    })
    return
  }
 
  // ユーザーが「admin」ロールを持っているか確認
  if (session.user.role !== 'admin') {
    res.status(401).json({
      error: 'Unauthorized access: User does not have admin privileges.',
    })
    return
  }
 
  // 権限のあるユーザーに対してルートを進める
  // ... APIルートの実装
}

この例は、認証と認可のための2段階のセキュリティチェックを持つAPIルートを示しています。まずアクティブなセッションをチェックし、次にログインしているユーザーが「admin」であることを確認します。このアプローチにより、認証および認可されたユーザーのみに制限された安全なアクセスが確保され、リクエスト処理のための堅牢なセキュリティが維持されます。

リソース

Next.jsでの認証について学んだところで、安全な認証とセッション管理を実装するためのNext.js互換ライブラリとリソースをご紹介します:

認証ライブラリ

セッション管理ライブラリ

さらに読む

認証とセキュリティについてさらに学ぶには、以下のリソースをチェックしてください: