認証
アプリケーションのデータ保護には、認証の理解が不可欠です。このページでは、認証を実装するために使用する React と Next.js の機能について説明します。
始める前に、プロセスを3つの概念に分解すると役立ちます。
- 認証:ユーザーが本人であることを確認します。ユーザー名とパスワードなど、ユーザーが所有するもので本人確認を行う必要があります。
- セッション管理:リクエスト間でユーザーの認証状態を追跡します。
- 認可:ユーザーがアクセスできるルートとデータを決定します。
この図は、React と Next.js の機能を使用した認証フローを示しています。
このページの例では、教育目的で基本的なユーザー名とパスワードによる認証について説明します。カスタム認証ソリューションを実装することもできますが、セキュリティと簡素化のため、認証ライブラリを使用することをお勧めします。これらには、認証、セッション管理、認可の組み込みソリューションに加え、ソーシャルログイン、多要素認証、ロールベースのアクセス制御などの追加機能が提供されています。認証ライブラリセクションにリストがあります。
認証
サインアップおよび/またはログインフォームを実装する手順を次に示します。
- ユーザーはフォームを通じて資格情報を送信します。
- フォームは、API ルートによって処理されるリクエストを送信します。
- 検証が成功すると、プロセスが完了し、ユーザーの認証が成功したことを示します。
- 検証に失敗した場合は、エラーメッセージが表示されます。
ユーザーが資格情報を入力できるログインフォームを考えてみましょう。
import { FormEvent } from 'react'
import { useRouter } from 'next/router'
export default function LoginPage() {
const router = useRouter()
async function handleSubmit(event: FormEvent<HTMLFormElement>) {
event.preventDefault()
const formData = new FormData(event.currentTarget)
const email = formData.get('email')
const password = formData.get('password')
const response = await fetch('/api/auth/login', {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify({ email, password }),
})
if (response.ok) {
router.push('/profile')
} else {
// Handle errors
}
}
return (
<form onSubmit={handleSubmit}>
<input type="email" name="email" placeholder="Email" required />
<input type="password" name="password" placeholder="Password" required />
<button type="submit">Login</button>
</form>
)
}上記のフォームには、ユーザーのメールアドレスとパスワードを取得するための2つの入力フィールドがあります。送信されると、API ルート (/api/auth/login) にPOSTリクエストを送信する関数がトリガーされます。
その後、API ルートで認証プロバイダーのAPIを呼び出して、認証を処理できます。
import type { NextApiRequest, NextApiResponse } from 'next'
import { signIn } from '@/auth'
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
try {
const { email, password } = req.body
await signIn('credentials', { email, password })
res.status(200).json({ success: true })
} catch (error) {
if (error.type === 'CredentialsSignin') {
res.status(401).json({ error: 'Invalid credentials.' })
} else {
res.status(500).json({ error: 'Something went wrong.' })
}
}
}セッション管理
セッション管理は、ユーザーの認証状態がリクエスト間で保持されるようにします。セッションまたはトークンの作成、保存、更新、削除が含まれます。
2種類のセッションがあります。
- ステートレス:セッションデータ(またはトークン)はブラウザのCookieに保存されます。Cookieは各リクエストで送信され、サーバーでセッションを確認できるようにします。この方法はシンプルですが、正しく実装されていない場合はセキュリティが低下する可能性があります。
- データベース:セッションデータはデータベースに保存され、ユーザーのブラウザは暗号化されたセッションIDのみを受け取ります。この方法はより安全ですが、複雑でサーバーリソースを多く使用する可能性があります。
参考情報: どちらの方法、または両方の方法を使用できますが、iron-session や Joseなどのセッション管理ライブラリを使用することをお勧めします。
ステートレスセッション
Cookieの設定と削除
APIルート を使用して、サーバー上にCookieとしてセッションを設定できます。
import { serialize } from 'cookie'
import type { NextApiRequest, NextApiResponse } from 'next'
import { encrypt } from '@/app/lib/session'
export default function handler(req: NextApiRequest, res: NextApiResponse) {
const sessionData = req.body
const encryptedSessionData = encrypt(sessionData)
const cookie = serialize('session', encryptedSessionData, {
httpOnly: true,
secure: process.env.NODE_ENV === 'production',
maxAge: 60 * 60 * 24 * 7, // One week
path: '/',
})
res.setHeader('Set-Cookie', cookie)
res.status(200).json({ message: 'Successfully set cookie!' })
}データベースセッション
データベースセッションを作成および管理するには、次の手順に従ってください。
- セッションデータとユーザーデータを保存するためのテーブルをデータベースに作成します(または、認証ライブラリがこれに対応しているかどうかを確認します)。
- セッションの挿入、更新、削除機能を実装します。
- セッションIDを暗号化してからユーザーのブラウザに保存し、データベースとCookieが同期していることを確認します(これはオプションですが、ミドルウェアでの楽観的認証チェックには推奨されます)。
サーバーでのセッション作成:
import db from '../../lib/db'
import type { NextApiRequest, NextApiResponse } from 'next'
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
try {
const user = req.body
const sessionId = generateSessionId()
await db.insertSession({
sessionId,
userId: user.id,
createdAt: new Date(),
})
res.status(200).json({ sessionId })
} catch (error) {
res.status(500).json({ error: 'Internal Server Error' })
}
}認証
ユーザーが認証され、セッションが作成されると、アプリケーション内でユーザーがアクセスできるものと実行できる操作を制御するための認証を実装できます。
認証チェックには主に2つの種類があります。
- 楽観的チェック: Cookieに保存されているセッションデータを使用して、ユーザーがルートにアクセスしたり、アクションを実行したりする権限があるかどうかを確認します。これらのチェックは、UI要素の表示/非表示や、権限またはロールに基づいてユーザーをリダイレクトするなど、迅速な操作に役立ちます。
- セキュアチェック: データベースに保存されているセッションデータを使用して、ユーザーがルートにアクセスしたり、アクションを実行したりする権限があるかどうかを確認します。これらのチェックはより安全であり、機密データやアクションへのアクセスを必要とする操作に使用されます。
どちらの場合も、次のことをお勧めします。
- データアクセスレイヤー(DAL)を作成して、認証ロジックを集中化します。
- データ転送オブジェクト(DTO)を使用して、必要なデータのみを返します。
- オプションでミドルウェアを使用して、楽観的チェックを実行します。
ミドルウェアを使用した楽観的チェック(オプション)
場合によっては、ミドルウェア を使用して、権限に基づいてユーザーをリダイレクトすることが必要な場合があります。
- 楽観的チェックを実行します。ミドルウェアはすべてのルートで実行されるため、リダイレクトロジックの中央化と、不正なユーザーの事前フィルタリングに適しています。
- ユーザー間でデータを共有する静的ルート(例:有料コンテンツ)を保護するため。
ただし、ミドルウェアはプリフェッチされたルートを含むすべてのルートで実行されるため、パフォーマンスの問題を防ぐために、Cookieからセッションを読み取る(楽観的チェック)だけで、データベースチェックは避けることが重要です。
例:
import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'
// 1. Specify protected and public routes
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']
export default async function middleware(req: NextRequest) {
// 2. Check if the current route is protected or public
const path = req.nextUrl.pathname
const isProtectedRoute = protectedRoutes.includes(path)
const isPublicRoute = publicRoutes.includes(path)
// 3. Decrypt the session from the cookie
const cookie = (await cookies()).get('session')?.value
const session = await decrypt(cookie)
// 4. Redirect to /login if the user is not authenticated
if (isProtectedRoute && !session?.userId) {
return NextResponse.redirect(new URL('/login', req.nextUrl))
}
// 5. Redirect to /dashboard if the user is authenticated
if (
isPublicRoute &&
session?.userId &&
!req.nextUrl.pathname.startsWith('/dashboard')
) {
return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
}
return NextResponse.next()
}
// Routes Middleware should not run on
export const config = {
matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}ミドルウェアは最初のチェックに役立ちますが、データ保護の唯一の手段としては不十分です。セキュリティチェックの大部分は、データソースにできる限り近い位置で行う必要があります。データアクセスレイヤーの詳細については、そちらを参照してください。
ヒント:
- ミドルウェアでは、`req.cookies.get('session').value`を使用してCookieを読み取ることもできます。
- ミドルウェアはEdgeランタイムを使用します。認証ライブラリとセッション管理ライブラリの互換性を確認してください。
- ミドルウェアで`matcher`プロパティを使用して、ミドルウェアを実行するルートを指定できます。ただし、認証の場合は、すべてのルートでミドルウェアを実行することをお勧めします。
データアクセスレイヤー(DAL)の作成
APIルートの保護
Next.jsのAPIルートは、サーバーサイドロジックとデータ管理を処理するために不可欠です。承認されたユーザーのみが特定の機能にアクセスできるように、これらのルートを保護することが重要です。これには通常、ユーザーの認証ステータスとロールベースの権限の検証が含まれます。
APIルートの保護の例を次に示します。
import { NextApiRequest, NextApiResponse } from 'next'
export default async function handler(
req: NextApiRequest,
res: NextApiResponse
) {
const session = await getSession(req)
// Check if the user is authenticated
if (!session) {
res.status(401).json({
error: 'User is not authenticated',
})
return
}
// Check if the user has the 'admin' role
if (session.user.role !== 'admin') {
res.status(401).json({
error: 'Unauthorized access: User does not have admin privileges.',
})
return
}
// Proceed with the route for authorized users
// ... implementation of the API Route
}この例では、認証と承認の2層セキュリティチェックを行うAPIルートを示しています。最初にアクティブなセッションを確認し、次にログインしているユーザーが「管理者」であるかどうかを確認します。このアプローチにより、認証され、権限のあるユーザーのみにアクセスが制限され、リクエスト処理の堅牢なセキュリティが維持されます。
リソース
Next.jsでの認証について学習したので、安全な認証とセッション管理の実装に役立つ、Next.jsと互換性のあるライブラリとリソースを以下に示します。
認証ライブラリ
セッション管理ライブラリ
さらに読む
認証とセキュリティについてさらに学習するには、以下のリソースをご覧ください。
参考になりましたか?