Auth0 Express Integration

express-openid-connect を使用して Express.js ウェブアプリケーションに認証を追加します。

---

前提条件

• Express.js アプリケーション
• Auth0 アカウントと設定済みのアプリケーション
• Auth0 がまだセットアップされていない場合は、まず auth0-quickstart スキルを使用してください

使用しない場合

• シングルページアプリケーション - クライアント側認証には auth0-react、auth0-vue、または auth0-angular を使用
• Next.js アプリケーション - クライアントとサーバーの両方を処理する auth0-nextjs スキルを使用
• モバイルアプリケーション - React Native/Expo には auth0-react-native を使用
• ステートレス API - セッションベース認証の代わりに JWT 検証ミドルウェアを使用
• マイクロサービス - サービス間認証には JWT 検証を使用

---

クイックスタートワークフロー

1. SDK をインストール

npm install express-openid-connect dotenv

2. 環境を設定

Auth0 CLI での自動セットアップは、完全なスクリプトについて Setup Guide を参照してください。

手動セットアップ:

.env を作成:

SECRET=<openssl-rand-hex-32>
BASE_URL=http://localhost:3000
CLIENT_ID=your-client-id
CLIENT_SECRET=your-client-secret
ISSUER_BASE_URL=https://your-tenant.auth0.com

シークレットを生成: openssl rand -hex 32

3. 認証ミドルウェアを設定

Express アプリ (app.js または index.js) を更新:

require('dotenv').config();
const express = require('express');
const { auth, requiresAuth } = require('express-openid-connect');

const app = express();

// Auth0 ミドルウェアを設定
app.use(auth({
  authRequired: false,  // すべてのルートで認証を必須にしない
  auth0Logout: true,    // ログアウトエンドポイントを有効化
  secret: process.env.SECRET,
  baseURL: process.env.BASE_URL,
  clientID: process.env.CLIENT_ID,
  issuerBaseURL: process.env.ISSUER_BASE_URL,
  clientSecret: process.env.CLIENT_SECRET
}));

app.listen(3000, () => {
  console.log('Server running on http://localhost:3000');
});

これにより以下が自動的に作成されます:

• /login - ログインエンドポイント
• /logout - ログアウトエンドポイント
• /callback - OAuth コールバック

4. ルートを追加

// 公開ルート
app.get('/', (req, res) => {
  res.send(req.oidc.isAuthenticated() ? 'Logged in' : 'Logged out');
});

// 保護されたルート
app.get('/profile', requiresAuth(), (req, res) => {
  res.send(`
    <h1>Profile</h1>
    <p>Name: ${req.oidc.user.name}</p>
    <p>Email: ${req.oidc.user.email}</p>
    <pre>${JSON.stringify(req.oidc.user, null, 2)}</pre>
    <a href="/logout">Logout</a>
  `);
});

// ログイン/ログアウトリンク
app.get('/', (req, res) => {
  res.send(`
    ${req.oidc.isAuthenticated() ? `
      <p>Welcome, ${req.oidc.user.name}!</p>
      <a href="/profile">Profile</a>
      <a href="/logout">Logout</a>
    ` : `
      <a href="/login">Login</a>
    `}
  `);
});

5. 認証をテスト

サーバーを起動:

node app.js

http://localhost:3000 にアクセスしてログインフローをテストします。

---

詳細ドキュメント

• Setup Guide - 自動セットアップスクリプト、環境設定、Auth0 CLI の使用方法
• Integration Guide - 保護されたルート、セッション、API 統合、エラー処理
• API Reference - 完全なミドルウェア API、設定オプション、リクエストプロパティ

---

よくある間違い

間違い	修正方法
Auth0 ダッシュボードでコールバック URL を追加し忘れた	Allowed Callback URLs に /callback パスを追加 (例: http://localhost:3000/callback)
SECRET がない、または弱い	openssl rand -hex 32 で安全なシークレットを生成し、.env に SECRET として保存
authRequired: true をグローバルに設定	false に設定し、特定のルートで requiresAuth() ミドルウェアを使用
Auth0 で SPA タイプのアプリを作成した	サーバー側認証には Regular Web Application タイプである必要があります
セッションシークレットがコードに公開されている	常に環境変数を使用し、シークレットをハードコードしないでください
本番環境で baseURL が間違っている	BASE_URL を本番ドメインと合致するように更新
ログアウト時に returnTo を処理していない	Auth0 ダッシュボードで Allowed Logout URLs にドメインを追加

---

関連スキル

• auth0-quickstart - 基本的な Auth0 セットアップ
• auth0-migration - 別の認証プロバイダーから移行
• auth0-mfa - 多要素認証を追加
• auth0-cli - ターミナルから Auth0 リソースを管理

---

クイックリファレンス

ミドルウェアオプション:

• authRequired - すべてのルートで認証を必須 (デフォルト: false)
• auth0Logout - /logout エンドポイントを有効化 (デフォルト: false)
• secret - セッションシークレット (必須)
• baseURL - アプリケーション URL (必須)
• clientID - Auth0 クライアント ID (必須)
• issuerBaseURL - Auth0 テナント URL (必須)

リクエストプロパティ:

• req.oidc.isAuthenticated() - ユーザーがログインしているか確認
• req.oidc.user - ユーザープロファイルオブジェクト
• req.oidc.accessToken - API 呼び出し用のアクセストークン
• req.oidc.idToken - ID トークン
• req.oidc.refreshToken - リフレッシュトークン

よくあるユースケース:

• 保護されたルート → requiresAuth() ミドルウェアを使用 (ステップ 4 を参照)
• 認証ステータスを確認 → req.oidc.isAuthenticated()
• ユーザー情報を取得 → req.oidc.user
• API を呼び出す → Integration Guide

---

参考資料

• Express OpenID Connect ドキュメント
• Auth0 Express クイックスタート
• SDK GitHub リポジトリ