Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CognitoとAmplifyで爆速認証実装

Tech Leverages
July 20, 2023
0
3.5k

 CognitoとAmplifyで爆速認証実装

Tech Leverages

July 20, 2023
Tweet

More Decks by Tech Leverages

See All by Tech Leverages
We Are PdE!! 〜高価値なプロダクトを作れるようになるための勉強会〜
leveragestech
1
560
Prisma Typed SQLのススメ
leveragestech
1
84
今日から始める技術的負債の解消
leveragestech
3
530
ドキュメントとの付き合い方を考える
leveragestech
2
200
開発者体験を向上させる ボトムアップな組織改善
leveragestech
1
240
市場価値の高いエンジニアを 目指そう!!
leveragestech
2
66
より快適なエラーログ監視を目指して
leveragestech
5
1.7k
絶賛設計中!参画者のエンゲージメントを最大化する体験重視のオンボーディング
leveragestech
1
120
SREが強化するべき組織のケイパビリティ
leveragestech
0
100

Featured

See All Featured
We Have a Design System, Now What?
morganepeng
50
7.2k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
It's Worth the Effort
3n
183
27k
Become a Pro
speakerdeck
PRO
25
5k
GraphQLとの向き合い方2022年版
quramy
43
13k
Producing Creativity
orderedlist
PRO
341
39k
Side Projects
sachag
452
42k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
655
59k

Transcript

  1. CognitoとAmplifyで爆速認証実装 レバレジーズ株式会社 オンライン診療事業 田中紘夢 2023/07/11

  2. 自己紹介

  3. 名前:田中紘夢(ひろむ) 出身:神奈川県横浜市 趣味:⚾🧖🏉🏖🍺 開発:TypeScript(React, Next.js, Nest.js)、趣味でFlutter 󰞵経歴 2021年3月 早稲田大学卒業 2021年4月

    レバレジーズ新卒入社 2022年11月〜 オンライン診療事業に異動

  4. 今回のテーマ Cognito × Amplify Authを使った フロントエンド認証の実装例とTipsの紹介

  5. IDaaS(特にCognito)を触ったことがない方や 導入を迷っている方にとって 少しでも参考になれば幸いです!

  6. まずはじめに

  7. オンラインで男性AGAの診察予約〜診療〜決済ができ、 家に薬が届きます。 今後男性AGA以外にも診療内容を拡大予定です。 をリリースしました!

  8. オンラインで男性AGAの診察予約〜診療〜決済ができ、 家に薬が届きます。 今後男性AGA以外にも診療内容を拡大予定です。 をリリースしました!

  9. AWS Amplifyとは AWSいわく「フロントエンドのウェブ/モバイルデベロッパーが AWS でフルスタックアプリケーショ ンを簡単に構築、出荷、ホストできる」サービス。 今回はAmplifyが提供しているSDKのなかのAuthライブラリを使って、cogintoの認証をフロント エンドで実装しました。

  10. なぜcognitoなのか ・IDaaSを使って認証基盤の構築を実装面でも工数面でも楽にしたかった ・Auth0はコスト面、クオータの制限が見合わなかった ・Firebaseはコスト面、実装面で優位なもののセキュリティ面に課題あり →登録しているメールアドレスが簡単にわかってしまう(※) ※詳しく知りたい方はこちらの記事がおすすめです(https://zenn.dev/rdlabo/articles/c899eee25d0191) サービスの性質上センシティブな内容を扱う( AGA治療など)こともあり、登録されているメールア ドレスがわかってしまうリスクを回避する理由で Cognitoを採用

  11. Amplify Authを使った認証実装例

  12. Amplify Authで認証処理実装 ①Amplifyの初期化 Amplify.configure({ Auth: { region: "ap-northeast-1", userPoolId: "<USER_POOL_ID>",

    userPollWebClientId: "<CLIENT_ID>", // federatedSignInを使う場合 oauth: { domain: "<YOUR_DOMAIN>", scope: ["email", "openid", "aws.cognito.signin.user.admin"], redirectSignIn: "<URL_TO_REDIRECT_AFTER_SIGNIN>", redirectSignOut: "<URL_TO_REDIRECT_AFTER_SIGNOUT>", responseType: "code" } } }) _app.tsxで以下を実行する

  13. Amplify Authで認証処理実装 ②メールアドレスログインの実装 import { Auth } from "aws-amplify" const

    signInWithEmail = async (email, password) => { await Auth.signIn({ username: email, password: password, }) .then((response) => {}) .catch((error) => {}) } Auth.signInを実行するだけでOK

  14. Amplify Authで認証処理実装 ③Googleログイン(アイデンティティプロバイダーを使った認証) Auth.federatedSignInを実行する。成功するとconfigureに書いたurlにリダイレクト import { CognitoHostedUIIdentityProvider } from "@aws-amplify/auth"

    import { Auth } from "aws-amplify" const signInWithGoogle = async () => { await Auth.federatedSignIn({ provider: CognitoHostedUIIdentityProvider.Google, }) }

  15. Amplify Authで認証処理実装 ④セッション(jwt)の取得 AmplifyではlocalStorageもしくはcookieにjwtを自動で保持してくれるため currentSessionを呼び出すだけでセッション情報が取得可能 import { Auth } from

    "aws-amplify" const getAccessToken = async () => { const session = await Auth.currentSession() if (!session?.isValid()) { return null } return session.getAccessToken().getJwtToken() }

  16. Amplify Authで認証処理実装 ⑤ログアウト Auth.signOutを呼び出すだけでOK アイデンティティプロバイダーのログインの場合はconfigureで指定したsignOutUrlにリダイレクト import { Auth } from

    "aws-amplify" const signOut = () => Auth.signOut()

  17. Amplify Authとうまく付き合うTips

  18. Amplify Authとうまく付き合うTips ①アイデンティティプロバイダー認証後の処理はHub.listenで const signInWithGoogle = async () => {

    await Auth.federatedSignIn({ provider: CognitoHostedUIIdentityProvider.Google, customState: "" }) .then((response) => { // ここに書いても動かない fetchUserFromOwnServer() }) } 例えばGoogleログインをするとリダイレクトするため thenやcatchで処理ができません

  19. Amplify Authとうまく付き合うTips ①アイデンティティプロバイダー認証後の処理はHub.listenで Hub.listen("auth", async ({ payload: { event, data

    } })) => { switch (event) { case "signIn": { // ここでアイデンティティプロバイダーで認証完了したことが検知できる fetchUserFromOwnServer() } } } なのでHub.listenで認証状態の変化を監視してあげるといいです

  20. Amplify Authとうまく付き合うTips ②アイデンティティプロバイダーの認証後のリダイレクト先を動的に変える Amplify.configure({ Auth: { // 省略 oauth: {

    // 省略 redirectSignIn: typeof window === "undefined" ? "固定値やenvから取得" : window.location.origin + window.location.pathname,, redirectSignOut: "<URL_TO_REDIRECT_AFTER_SIGNOUT>", responseType: "code" } } }) cognitoには複数のリダイレクトURLを設定できますが、Amplifyの設定ではできません。 登録ページとログインページのurlが分かれている場合などは動的にセットしてあげるといいです。

  21. Amplify Authとうまく付き合うTips ③アイデンティティプロバイダーの認証後に動的なパラメータを引き継ぐ cognitoではリダイレクトURLのワイルドカードの指定ができないため、動的なパラメータがつく場 合などはカスタムステートで渡してあげる必要があります const signInWithGoogle = async ()

    => { await Auth.federatedSignIn({ provider: CognitoHostedUIIdentityProvider.Google, customState: JSON.stringify({ token: "何かしらの動的パラメータなど" }) }) }

  22. Amplify Authとうまく付き合うTips ③アイデンティティプロバイダーの認証後に動的なパラメータを引き継ぐ Hub.listen("auth", async ({ payload: { event, data

    } })) => { switch (event) { case "customOAuthState": { const state = JSON.parse(data) // state.tokenと取れる } } } するとHub.listenでカスタムステートを取得することができます

  23. Amplify Auth / Cognitoの辛いところ

  24. Amplify Auth / Cognitoの辛いところ 先述の通り、Amplify AuthはjwtをデフォルトでlocalStorageもしくはcookie(http-onlyにはできな い)に保持するため、セキュリティ上の脆弱性となる可能性もあります。 http-onlyのcookieに保持するためにはサーバーの処理を噛ませる必要があり、 cognitoのデフォ ルトの機能では実装できません。

    利便性とセキュリティ要件を踏まえて採用を検討する必要があります。 jwtをどこに管理するか

  25. 終わり