Agent Skills by ALSEL
Anthropic Claudeソフトウェア開発⭐ リポ 0品質スコア 50/100

oauth

FastifyアプリケーションにOAuth 2.0/2.1認可フローを実装します。PKCEを用いた認可コードフロー、クライアントクレデンシャル、デバイスフロー、リフレッシュトークンのローテーション、JWT検証、トークンイントロスペクション/失効エンドポイントを設定します。認証・認可・ログインフロー・アクセストークン・APIセキュリティの構築や、Fastifyルートの保護が必要な際に使用します。また、トークン検証エラー、リダイレクトURIの不一致、CSRF問題、スコープの不整合、RFC 6749/6750/7636/8252/8628への準拠に関するトラブルシューティングにも対応します。

description の原文を見る

Implements OAuth 2.0/2.1 authorization flows in Fastify applications — configures authorization code with PKCE, client credentials, device flow, refresh token rotation, JWT validation, and token introspection/revocation endpoints. Use when setting up authentication, authorization, login flows, access tokens, API security, or securing Fastify routes with OAuth; also applies when troubleshooting token validation errors, mismatched redirect URIs, CSRF issues, scope problems, or RFC 6749/6750/7636/8252/8628 compliance questions.

SKILL.md 本文

使用する場面

以下の場合にこのスキルを使用してください:

  • Fastify アプリケーションで OAuth 2.0/2.1 フローを実装またはデバッグする必要がある
  • トークンを検証、PKCE を設定、またはリフレッシュトークンローテーションをセットアップする
  • Fastify ルートおよびプラグインをアクセス制御ミドルウェアで保護する
  • RFC 準拠に関する質問を解決したり、セキュリティアンチパターンを特定したりする

ステップバイステップ:Fastify での認可コード + PKCE

1. 依存関係をインストール

npm install @fastify/oauth2 @fastify/cookie @fastify/session fastify-plugin

2. OAuth プラグインを登録

// plugins/oauth.ts
import fp from 'fastify-plugin'
import oauth2, { OAuth2Namespace } from '@fastify/oauth2'
import { FastifyInstance } from 'fastify'

export default fp(async function (fastify: FastifyInstance) {
  fastify.register(oauth2, {
    name: 'oauth2',
    scope: ['openid', 'profile', 'email'],
    credentials: {
      client: {
        id: process.env.CLIENT_ID!,
        secret: process.env.CLIENT_SECRET!,
      },
      auth: {
        authorizeHost: process.env.AUTH_SERVER!,
        authorizePath: '/authorize',
        tokenHost: process.env.AUTH_SERVER!,
        tokenPath: '/token',
      },
    },
    startRedirectPath: '/login',
    callbackUri: process.env.CALLBACK_URI!,
    pkce: 'S256',               // RFC 7636 — 公開クライアントでは常に使用
    generateStateFunction: (req) => req.session.state = crypto.randomUUID(),
    checkStateFunction: (req, callback) =>
      req.query.state === req.session.state ? callback() : callback(new Error('State mismatch')),
  })
})

検証チェックポイント: 先に進む前に、callbackUri が認可サーバーに登録されているリダイレクト URI と完全に一致することを確認してください (RFC 6749 §3.1.2)。

3. コールバックを処理してコードを交換

// routes/auth.ts
import { FastifyInstance } from 'fastify'

export default async function authRoutes(fastify: FastifyInstance) {
  fastify.get('/login/callback', async (request, reply) => {
    // @fastify/oauth2 が state を検証し、コードを自動的に交換します
    const tokenResponse = await fastify.oauth2.getAccessTokenFromAuthorizationCodeFlow(request)

    // 必要なもののみを保存します。生のトークンをログに出力しないでください
    request.session.set('accessToken', tokenResponse.token.access_token)
    request.session.set('refreshToken', tokenResponse.token.refresh_token)

    return reply.redirect('/')
  })

  fastify.get('/logout', async (request, reply) => {
    await request.session.destroy()
    return reply.redirect('/')
  })
}

4. JWT 検証ミドルウェア (トークンイントロスペクションフック)

// hooks/verifyToken.ts
import { FastifyRequest, FastifyReply } from 'fastify'
import jwt from '@fastify/jwt'

export async function verifyToken(request: FastifyRequest, reply: FastifyReply) {
  try {
    await request.jwtVerify()
    // 必須クレームを検証します (RFC 7519)
    const payload = request.user as Record<string, unknown>
    const now = Math.floor(Date.now() / 1000)

    if (typeof payload.exp === 'number' && payload.exp < now)
      return reply.code(401).send({ error: 'token_expired' })

    if (payload.iss !== process.env.EXPECTED_ISSUER)
      return reply.code(401).send({ error: 'invalid_issuer' })

    if (payload.aud !== process.env.EXPECTED_AUDIENCE)
      return reply.code(401).send({ error: 'invalid_audience' })

  } catch (err) {
    return reply.code(401).send({ error: 'invalid_token', error_description: (err as Error).message })
  }
}

検証チェックポイント:

  • すべてのリクエストで expissaudsub を検証します。スキップしないでください (RFC 7519 §4)
  • サードパーティサーバーが発行したトークンの場合、HS256 ではなく fastify.jwt.verify (RS256/ES256 の非対称型) を使用してください

5. ルートを保護

// routes/api.ts
import { FastifyInstance } from 'fastify'
import { verifyToken } from '../hooks/verifyToken'

export default async function apiRoutes(fastify: FastifyInstance) {
  fastify.addHook('onRequest', verifyToken)   // このスコープのすべてのルートに適用されます

  fastify.get('/me', {
    schema: {
      response: { 200: { type: 'object', properties: { sub: { type: 'string' } } } },
    },
  }, async (request) => {
    const user = request.user as { sub: string }
    return { sub: user.sub }
  })
}

6. リフレッシュトークンローテーション

async function refreshAccessToken(fastify: FastifyInstance, refreshToken: string) {
  const newToken = await fastify.oauth2.getNewAccessTokenUsingRefreshTokenFlow({ refresh_token: refreshToken })

  // ローテーションが使用されている場合、保存されたリフレッシュトークンを常に置き換えます (RFC 6749 §10.4)
  return {
    accessToken: newToken.token.access_token,
    refreshToken: newToken.token.refresh_token ?? refreshToken,
  }
}

セキュリティチェックリスト

要件RFC リファレンス
リダイレクト URI をアロウリストに対して検証するRFC 6749 §3.1.2
公開クライアントすべてに PKCE (S256) を使用RFC 7636 §4.2
CSRF を防ぐために state を検証RFC 6749 §10.12
すべての JWT で issaudexp を検証RFC 7519 §4
使用するたびにリフレッシュトークンをローテーションRFC 6749 §10.4
至る所で HTTPS を使用。HTTP リダイレクト URI を拒否RFC 6749 §3.1.2.1
トークンエンドポイントにレート制限を設定OAuth 2.1 §7

よくあるアンチパターン

  • localStorage にトークンを保存する — 代わりに HttpOnlySecureSameSite=Strict クッキーを使用してください
  • オーディエンス検証をスキップする — サービス間でのトークンの再利用を許可してしまいます
  • 暗黙フロー (Implicit Flow) を使用する — OAuth 2.1 では廃止されました。認可コード + PKCE を使用してください
  • ブラウザアプリで response_type=token を受け入れる — URL フラグメント内のトークンはログ/リファラで漏洩します
  • サードパーティトークンに対称署名 (HS256) を使用する — JWKS エンドポイントを持つ RS256/ES256 を使用してください

さらなる実装リファレンス

  • デバイス認可フロー (RFC 8628) の実装については DEVICE_FLOW.md を参照してください
  • JWKS ローテーション、キャッシング戦略、不透明なトークンイントロスペクションについては TOKEN_VALIDATION.md を参照してください
  • マシンツーマシンのサービス認証パターンについては CLIENT_CREDENTIALS.md を参照してください
  • ネイティブ/モバイルアプリフロー (RFC 8252) とカスタム URI スキームについては MOBILE_OAUTH.md を参照してください

ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ

詳細情報

作者
mcollina
リポジトリ
mcollina/skills
ライセンス
MIT
最終更新
不明
GitHubで原本を見る →フィードバックを送る

Source: https://github.com/mcollina/skills / ライセンス: MIT

関連スキル

汎用ソフトウェア開発⭐ リポ 39,967

doubt-driven-development

重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。

by addyosmani
汎用ソフトウェア開発⭐ リポ 1,175

apprun-skills

TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。

by yysun
OpenAIソフトウェア開発⭐ リポ 797

desloppify

コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。

by Git-on-my-level
汎用ソフトウェア開発⭐ リポ 39,967

debugging-and-error-recovery

テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。

by addyosmani
汎用ソフトウェア開発⭐ リポ 39,967

test-driven-development

テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。

by addyosmani
汎用ソフトウェア開発⭐ リポ 39,967

incremental-implementation

変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。

by addyosmani
本サイトは GitHub 上で公開されているオープンソースの SKILL.md ファイルをクロール・インデックス化したものです。 各スキルの著作権は原作者に帰属します。掲載に問題がある場合は info@alsel.co.jp または /takedown フォームよりご連絡ください。
原作者: mcollina · mcollina/skills · ライセンス: MIT