フロントエンドプロジェクト開発において、ユーザーの認証方法には主に Session、JWT、SSO、OAuth 2.0 の 4 種類があります。
それぞれの方式にはどのような メリット と デメリット があるのでしょうか?
今回は、それらを比較してみましょう!
Session(セッション)ベースのクラシックな認証方式
Session ベースの認証とは?
Session(セッション)ベースの認証は、フロントエンドとバックエンドのシステムにおいて一般的に使用されるユーザー認証方式です。
この方法は、主に サーバー側でユーザーのセッションを作成・管理 することに依存しています。
Session の動作原理
Session の動作プロセスは 6 つのステップ に分かれます。
-
ユーザーログイン:
ユーザーはログインページで認証情報(ユーザー名やパスワードなど)を入力します。
これらの情報はフロントエンドを通じてバックエンドサーバーに送信され、認証が行われます。 -
セッションの作成:
バックエンドサーバーは認証情報を検証し、セッション(Session)を作成します。
このセッションには通常、一意のセッション ID が含まれ、サーバー側のセッションストレージに保存されます。 -
セッション ID の返却:
サーバーは生成したセッション ID をフロントエンドに返します。
これは Cookie に保存され、ユーザーのブラウザに送信されます。 -
セッション ID の保存:
ブラウザはこの Cookie を保存し、その後のすべてのリクエストで自動的にサーバーへ送信します。
これにより、サーバーはセッション ID を取得し、ユーザーを識別できます。 -
セッションの認証:
サーバーはセッション ID を使ってユーザー情報を取得し、ユーザーの認証を行います。
また、サーバー側で アクセス制御(権限管理) を行うことも可能です。 -
セッションの有効期限と管理:
サーバーは セッションの有効期限 を設定し、一定時間が経過すると自動的にセッションを無効化します。
また、ユーザーが ログアウト する際にもセッションを削除することができます。
メリット・デメリット
メリット
✅ シンプルで使いやすい:
開発者にとって、セッションの管理とユーザーの認証は比較的容易です。
✅ 互換性が高い:
ほとんどのブラウザが Cookie をサポートしており、自動で送受信できます。
デメリット
❌ スケーラビリティが低い:
分散システムでは、複数のサーバーがセッションストレージを共有する必要があり、管理の複雑さ が増します。
❌ HTTPS が必須:
Cookie が盗まれると セッションハイジャック(Session Hijacking) のリスクがあります。
そのため、HTTPS を使用し、Cookie の HttpOnly と Secure 属性を設定する必要があります。
実装例(Express を使用)
以下に、Express を使った基本的な Session 認証の実装例を示します。
const express = require('express');
const session = require('express-session');
const app = express();
// express-session のミドルウェア設定
app.use(
session({
secret: 'your-secret-key', // セッションIDの署名用キー
resave: false, // セッションが変更されていなくても毎回保存するか(false推奨)
saveUninitialized: true, // 初期化されていないセッションも保存するか
cookie: {
secure: true, // HTTPSでのみ送信(HTTPS環境で使用)
maxAge: 24 * 60 * 60 * 1000, // セッションの有効期限(24時間)
},
})
);
// ログイン処理
app.post('/login', (req, res) => {
// ユーザー認証処理(仮のデータ)
const user = { id: 123 }; // ユーザーID
req.session.userId = user.id; // セッションにユーザーIDを保存
res.send('ログイン成功');
});
// ダッシュボード(認証が必要)
app.get('/dashboard', (req, res) => {
if (req.session.userId) {
res.send('ダッシュボードのコンテンツ');
} else {
res.send('ログインしてください');
}
});
app.listen(3000, () => {
console.log('サーバーがポート3000で起動しました...');
});
JWT(JSON Web Token)ベースの認証
JWT ベースの認証とは?
現在最も一般的に使用されている認証方式 です。
サーバーは、ユーザーを識別するための トークン(Token) を返します。
その後、リクエストのヘッダーに JWT を追加 して、ユーザーの認証を行います。
この方法は ステートレス認証(Stateless Authentication)とも呼ばれます。
HTTP リクエストは本来ステートレス(無状態) であるため、サーバーがセッションを保持しないこの方式が適しています。
JWT の動作原理
-
ユーザーログイン:
ユーザーはログインページで認証情報を入力し、サーバーへ送信します。 -
JWT の生成:
サーバーは認証情報を検証後、JWT を生成します。
JWT には、ユーザー情報(例:ユーザー ID)や有効期限などのメタデータ が含まれます。 -
JWT の返却:
サーバーは JWT をフロントエンドへ返します(JSON レスポンスなどで)。 -
JWT の保存:
フロントエンドは JWT を localStorage や Cookie に保存します。
ただし、XSS 攻撃(クロスサイトスクリプティング)を防ぐため、Cookie 保存には注意が必要です。 -
API リクエスト時に JWT を付与:
フロントエンドが API リクエストを行う際、JWT を Authorization ヘッダー(Bearer トークン) に含めます。 -
サーバーで JWT を検証:
サーバーは受け取った JWT の署名を検証し、トークンの有効性を確認します。 -
リクエストの処理:
認証が成功した場合、サーバーはリクエストを処理し、必要なデータを返します。
メリット・デメリット
メリット
✅ ステートレス(無状態):
JWT は自己完結型のトークンであり、サーバー側にセッション情報を保存する必要がありません。
これにより、スケーラビリティが向上し、ロードバランシングが容易になります。
✅ クロスドメイン対応:
JWT は異なるドメイン間 で利用できるため、フロントエンドとバックエンドが分離したアーキテクチャ に適しています。
デメリット
❌ セキュリティリスク:
JWT の安全性は 秘密鍵の保護 と トークンの有効期限管理 に依存します。
トークンが盗まれた場合、不正アクセスのリスクがあります。
❌ トークンの管理が必要:
JWT はステートレスなため、ログアウト時にトークンを無効化する仕組みが必要 です(ブラックリストの管理など)。
実装例(Express を使用)
以下は Express + JWT を用いた基本的な認証の実装例です。
const express = require('express');
const jwt = require('jsonwebtoken');
const bodyParser = require('body-parser');
const app = express();
app.use(bodyParser.json());
const secretKey = 'your-secret-key'; // JWTの署名用秘密鍵
// ログイン処理(JWTの発行)
app.post('/login', (req, res) => {
const { username, password } = req.body;
// ユーザー認証(ここでは仮のデータ)
const user = { id: 1, username: 'user' };
const token = jwt.sign(user, secretKey, { expiresIn: '24h' }); // トークン発行(有効期限24時間)
res.json({ token }); // JWTを返す
});
// 認証が必要なエンドポイント
app.get('/dashboard', (req, res) => {
const token = req.headers['authorization']?.split(' ')[1];
if (!token) {
return res.status(401).send('トークンが提供されていません');
}
jwt.verify(token, secretKey, (err, decoded) => {
if (err) {
return res.status(401).send('無効なトークン');
}
res.send('ダッシュボードの内容を表示');
});
});
app.listen(3000, () => {
console.log('サーバーがポート3000で起動しました...');
});
SSO(シングルサインオン)ベースの認証方式
SSO(Single Sign-On)とは?
SSO(シングルサインオン)は、複数のアプリケーションを一度のログインで利用できる認証方式 です。
企業環境や統合システムにおいてよく利用され、ユーザーは一度ログインするだけで、関連するすべてのサービスを利用できます。
SSO の動作原理
-
ユーザーがアプリケーションにアクセス
- ユーザーが サービスプロバイダー(SP)(=アプリケーション)にアクセスします。
-
SSO 認証ページへのリダイレクト
- ユーザーが未認証の場合、SP は 認証プロバイダー(IdP: Identity Provider) にリダイレクトします。
-
ユーザーがログイン
- IdP でユーザーがログインします。
- すでにログイン済みの場合、このステップはスキップされます。
-
認証トークンの発行
- IdP は SSO トークン を生成し、ユーザーを元の SP へリダイレクトします。
-
トークンの検証
- SP は IdP にトークンを送信し、ユーザーの認証情報を確認 します。
-
アクセス許可
- 認証が成功すると、ユーザーは SP のリソースにアクセスできるようになります。
-
別のサービスへのアクセス
- 別の SP にアクセスする際、ユーザーは 再ログイン不要 で認証が完了します。
メリット・デメリット
メリット
✅ ユーザー体験の向上:
一度ログインするだけで、複数のシステムをシームレスに利用できます。
✅ 管理が容易:
ユーザーアカウントを 一元管理 できるため、企業環境での利用に適しています。
✅ セキュリティの向上:
パスワードの使い回しが減るため、パスワード漏洩リスクが低減 します。
また、多要素認証(MFA) などのセキュリティ対策も組み込みやすいです。
デメリット
❌ シングルポイント・オブ・フェイラー(SPOF):
SSO システムがダウンすると、すべてのサービスが利用できなくなる 可能性があります。
❌ 導入が複雑:
SSO の構築には、プロトコルの理解や適切な設定が必要 であり、実装が難しい場合があります。
代表的な SSO プロトコル
🔹 SAML(Security Assertion Markup Language)
- XML ベースの認証・認可プロトコル
- 企業向け の SSO で広く利用される(例:Google Workspace、Microsoft 365)
🔹 OAuth 2.0 / OpenID Connect(OIDC)
- OAuth 2.0 は認可のためのフレームワーク
- OpenID Connect は認証を追加するための拡張仕様
- Web アプリやモバイルアプリ向けの SSO に適用される
🔹 CAS(Central Authentication Service)
- Web アプリ向けの オープンソース SSO ソリューション
OAuth 2.0 ベースの認証方式
OAuth 2.0 とは?
OAuth 2.0 は、ユーザーのリソース(例:個人情報やデータ)をサードパーティアプリに許可するための認可プロトコル です。
例えば、Google ログイン や Facebook ログイン などが OAuth 2.0 を利用しています。
OAuth 2.0 は認証ではなく認可のためのプロトコル ですが、認証と組み合わせることでユーザーログインにも利用されます。
OAuth 2.0 の動作原理
OAuth 2.0 は比較的複雑な仕組みを持つため、まず基本的な概念を理解する必要があります。
OAuth 2.0 の基本概念
-
リソースオーナー(Resource Owner)
- 通常はユーザーであり、保護されたリソース(例:個人情報、ファイルなど)を所有する。
-
リソースサーバー(Resource Server)
- ユーザーのリソースを管理するサーバー(例:Google Drive のファイル、Facebook のプロフィール情報)。
- クライアントがアクセスする際には、適切な権限が必要。
-
クライアント(Client)
- リソースオーナーのデータにアクセスするアプリケーション(例:SNS アカウントを利用する外部アプリ)。
- クライアントは直接リソースを取得するのではなく、OAuth 2.0 のプロセスを通じてアクセス許可を得る。
-
認可サーバー(Authorization Server)
- ユーザーを認証し、クライアントにアクセストークンを発行するサーバー(例:Google の OAuth サーバー)。
- クライアントがアクセスする前に、適切な認可(許可)が与えられたかをチェックする。
OAuth 2.0 の動作プロセス
-
ユーザーがクライアント(アプリ)を利用しようとする
- 例:Google アカウントでログイン をクリックする。
-
クライアントが認可サーバーへリダイレクト
- クライアントはユーザーを認可サーバー(例:Google OAuth)にリダイレクトし、認可をリクエスト する。
-
ユーザーが認可サーバーでログイン&許可
- ユーザーは Google などの認可サーバーでログインし、クライアントに対するアクセス許可を与える。
-
認可コード(Authorization Code)の発行
- 認可サーバーは認可コード(Authorization Code) を発行し、クライアントに返す。
-
クライアントが認可コードを使ってアクセストークンをリクエスト
- クライアントは認可コードを認可サーバーに送信し、アクセストークン(Access Token) を取得する。
-
アクセストークンを使ってリソースサーバーにアクセス
- クライアントはアクセストークンを使い、リソースサーバー(Google API など)からユーザー情報を取得 する。
-
ユーザーがアプリを利用できるようになる
- クライアントは取得したユーザー情報を使い、アプリのログインやカスタマイズを行う。
OAuth 2.0 の代表的な認可フロー
OAuth 2.0 には、異なるユースケースに対応するために複数の認可フロー(Grant Type) が存在します。
① 認可コードフロー(Authorization Code Flow)
- 最も一般的なフロー であり、Web アプリやネイティブアプリ に適している。
- 認可コードを経由してアクセストークンを取得するため、セキュリティが高い。
② インプリシットフロー(Implicit Flow)
- 認可コードを使用せず、アクセストークンを直接発行する(フロントエンドアプリ向け)。
- セキュリティリスクが高いため、現在は非推奨。
③ リソースオーナーパスワードクレデンシャルフロー(Password Credentials Flow)
- ユーザーがクライアントに直接 ID とパスワードを入力し、トークンを取得する方式。
- 信頼されたクライアント向けだが、セキュリティ上のリスクがあるため非推奨。
④ クライアントクレデンシャルフロー(Client Credentials Flow)
- ユーザーを介さずに、クライアント自体が直接アクセストークンを取得 するフロー。
- マシン間の API 通信(例:サーバー間連携)に使用。
メリット・デメリット
メリット
✅ 柔軟性が高い
- OAuth 2.0 は、異なるクライアント(Web アプリ、モバイルアプリ、サーバー間通信)に対応可能。
✅ セキュリティ強化
- アクセストークン を用いることで、ユーザーのパスワードを直接やり取りする必要がない。
✅ API との統合が容易
- OAuth 2.0 は、外部サービスとの統合(例:Google、Facebook、GitHub ログインなど)に最適。
デメリット
❌ 実装が複雑
- 認可サーバー、アクセストークンの管理、トークンの更新処理 など、他の認証方式と比べて複雑。
❌ アクセストークンの漏洩リスク
- アクセストークンが盗まれた場合、悪意ある第三者が API にアクセス可能 となるため、適切な管理が必要(例:短い有効期限、HTTPS の使用)。
実装例(Express を使用)
以下は OAuth 2.0 の基本的な実装例 です。
const express = require('express');
const axios = require('axios');
const app = express();
// OAuth 2.0 設定
const clientId = 'your-client-id';
const clientSecret = 'your-client-secret';
const redirectUri = 'http://localhost:3000/callback';
const authorizationServerUrl = 'https://authorization-server.com';
const resourceServerUrl = 'https://resource-server.com';
// ログインエンドポイント(OAuth 2.0の認可リクエスト)
app.get('/login', (req, res) => {
const authUrl = `${authorizationServerUrl}/authorize?response_type=code&client_id=${clientId}&redirect_uri=${redirectUri}&scope=read`;
res.redirect(authUrl);
});
// 認可コードを受け取り、アクセストークンを取得
app.get('/callback', async (req, res) => {
const { code } = req.query;
if (!code) {
return res.status(400).send('認可コードが見つかりません');
}
try {
// アクセストークンを取得
const response = await axios.post(`${authorizationServerUrl}/token`, {
grant_type: 'authorization_code',
code,
redirect_uri: redirectUri,
client_id: clientId,
client_secret: clientSecret,
});
const { access_token } = response.data;
// アクセストークンを使ってリソースサーバーにリクエスト
const resourceResponse = await axios.get(`${resourceServerUrl}/user-info`, {
headers: { Authorization: `Bearer ${access_token}` },
});
res.json(resourceResponse.data);
} catch (error) {
res.status(500).send('トークンの取得またはリソースアクセス中にエラーが発生しました');
}
});
app.listen(3000, () => {
console.log('サーバーがポート3000で起動しました...');
});
まとめ
現在、4 つの認証方式にはそれぞれ特徴があります:
- Session:シンプルでサーバー主導の認証方式。小規模アプリ向け。
- JWT:ステートレスな認証方式。モダンな Web アプリやモバイルアプリ向け。
- SSO:企業環境に最適なシングルサインオン方式。
- OAuth 2.0:サードパーティアプリの認証・認可に最適。
各方式の特徴を理解し、適切なユースケースで選択しましょう!
私たちはLeapcell、Node.jsプロジェクトのホスティングの最適解です。
Leapcellは、Webホスティング、非同期タスク、Redis向けの次世代サーバーレスプラットフォームです:
複数言語サポート
- Node.js、Python、Go、Rustで開発できます。
無制限のプロジェクトデプロイ
- 使用量に応じて料金を支払い、リクエストがなければ料金は発生しません。
比類のないコスト効率
- 使用量に応じた支払い、アイドル時間は課金されません。
- 例: $25で6.94Mリクエスト、平均応答時間60ms。
洗練された開発者体験
- 直感的なUIで簡単に設定できます。
- 完全自動化されたCI/CDパイプラインとGitOps統合。
- 実行可能なインサイトのためのリアルタイムのメトリクスとログ。
簡単なスケーラビリティと高パフォーマンス
- 高い同時実行性を容易に処理するためのオートスケーリング。
- ゼロ運用オーバーヘッド — 構築に集中できます。
Xでフォローする:@LeapcellHQ