竹田奈央 
Nuxt 3で認証どうするのが正解かわからない…。
Googleログインしたいけど、JWT?session?どれ使えばいいの…?
今回の記事は上記のような方におすすめ。
今回の記事では、Nuxt3での認証基盤の実装について、初心者でも分かるようにわかりやすく解説します!
先輩に「認証まわり、よろしく!!」と言われて「よろしくって…!?」と悩んだ経験はありませんか?
ーーでも大丈夫。
本記事では、Nuxt 3とsidebase/nuxt-authを使った認証実装のベストプラクティスを、OAuth対応を含めてわかりやすく紹介します。※Vue/Nuxtで悩むフロントエンジニア向けに、実務レベルの解説をしていきます。
ぜひ参考にしてみてください!
気になる箇所あったらコメントで教えてね。
なおこの記事は3分で読める内容です。
🔥なぜ「Nuxt Auth(sidebase/nuxt-auth)」が注目されているのか
最近のWebアプリケーションでは、ログイン・セッション管理・OAuth接続などの「認証」が必要になる場面が激増しています。企業のWebアプリケーションでは、個人情報や機密情報を扱うことが多く、セキュリティ要件もどんどん厳しくなってきました。
そんな中で、毎回認証機能を自作するのは非効率で、実装ミスによるリスクも高まります。特に、CSRF対策やセッション管理、トークンの安全な保存などは、セキュリティ知識が求められるポイントです。
そこで登場するのが「sidebase/nuxt-auth」。NextAuth.jsライクな設計で、GoogleやGitHubなどのOAuth連携を数行で実装可能。設定もシンプルで、セキュアかつ保守性の高い認証基盤が手に入ります。また「SSR」に対応しているのも評価ポイントの一つ。
SSR(Server Side Rendering)とは、ざっくりクライアントサイドでWebページをレンダリングする代わりに、サーバー上にWebページを表示する仕組みのこと。今回の記事の主題とはそれるため、説明は省略します。
Nuxt Authとは?簡単にできる認証ライブラリ
@sidebase/nuxt-auth は Nuxt 3 専用に設計された認証モジュールで、以下のような特徴があります。
- OAuthプロバイダーの豊富な対応(Google、GitHub、Twitter、Azureなど)
- NextAuth.jsに影響を受けた設計で、Vue/Nuxtユーザーにも馴染みやすい
- メールアドレス+パスワードでの独自認証も可能
- TypeScriptとの高い親和性で補完も安心
NuxtAuthは、内部的に「Auth.js / NextAuth.js」を使用しています。「Auth.js / NextAuth.js」は、Next.jsの認証ライブラリで、26,000以上のGitHubスターを獲得している人気ライブラリです。
「NuxtAuth」では、この人気ライブラリでの信頼性と利便性を最大限活用することができます。
面倒なログイン、ログアウト、ユーザー認証データへのアクセスなどがライブラリ側で吸収されているため、「とりあえず試してみたい」「早く機能を実装したい」というケースにもピッタリです。
⚠️ 自前で認証を実装する3つのデメリット
認証の脆弱性や不具合リスクが高まる
認証・認可処理にはセキュリティ上の注意点が多く、CSRF、セッション固定、トークンの失効管理、リプレイ攻撃など、実装ミスが命取りになるポイントが数多く存在します。
Nuxt Auth(= NextAuth.js)を使えば、こうした脅威に対するベストプラクティスが既に組み込まれており、安全な状態でスタートできます。
自前実装では、それらを全て正確に把握し、実装・保守する責任を開発チームが背負うことになります。
OAuth連携の実装が困難
GoogleやGitHubなどのOAuthプロバイダーとの連携などの高度な機能を実装するには、煩雑な仕様の理解と複雑なフローの構築が必要です。
一方、Nuxt Auth を使えば、わずかな設定だけで主要プロバイダーと接続可能。将来的な機能追加や要件変更にも柔軟に対応でき、自前実装と比べて圧倒的に工数が削減されます。
メンテナンスと仕様変更への追随が負担
OAuthの仕様は頻繁にアップデートされ、API や挙動もプロバイダーごとに異なります。自前実装では、これらの変化に常に目を配り、必要に応じてコードを修正し続ける必要があります。
Nuxt Auth のように広く使われているライブラリは、コミュニティとコントリビューターが常に最新の仕様に追随しており、セキュリティパッチや改善も迅速です。
結果的に、開発チームの運用負担が大幅に軽減されます。
このように、自前実装は自由度が高い反面、セキュリティ・保守性・実装コストの面で大きな負担がかかる選択です。
Nuxt Auth の導入は、そのリスクを回避しつつ、拡張性のある安全な認証基盤を簡単に整える手段といえるでしょう。
Nuxt Authの導入手順【コピペOK】
以下の手順で、Nuxt Authをすぐに使い始められます。ローカル開発環境ではGoogleログインの動作確認も簡単です。
- 必要なパッケージをインストール
- モジュールの設定(
nuxt.config.ts) - GitHubログインのプロバイダー設定(
auth.providers.ts) - 認証状態を使う(例:ログインしているか確認)
1、必要なパッケージをインストール
$ npm install @sidebase/nuxt-auth2、モジュールの設定(nuxt.config.ts)
export default defineNuxtConfig({
modules: ['@sidebase/nuxt-auth'],
auth: {
provider: {
type: 'authjs',
trustHost: false,
defaultProvider: 'github',
addDefaultCallbackUrl: true
}
}
})origin はセッション発行に関わる重要な設定です。ローカル環境や本番環境に応じて動的に切り替えるようにすると良いでしょう。
3、GitHubログインのプロバイダー設定([...].ts)
// ~/server/api/auth/[...].ts
import GithubProvider from 'next-auth/providers/github'
import { NuxtAuthHandler } from '#auth'
export default NuxtAuthHandler({
secret: 'your-secret-here',
providers: [
GithubProvider.default({
clientId: 'your-client-id',
clientSecret: 'your-client-secret'
})
]
})各プロバイダーごとの設定はこちらをご覧ください。
4、認証状態を使う(例:ログインしているか確認)
const { status, data } = useAuth()
if (status.value === 'authenticated') {
console.log(data.value?.user?.email)
}このように、ログイン状態の確認やユーザー情報の取得も簡単です。
実務でつまづきやすいポイントと対処法
✅ 開発中だけでなく、本番環境のドメインにも対応設定を
開発環境では正常に動いていたのに、本番環境だけ500エラーが返されてしまう…。どうやら認証周りに原因がありそう…。
その原因の多くは origin の設定ミスです。NuxtAuthでは、アプリケーションのオリジンが設定されていない場合、AUTH_NO_ORIGIN警告メッセージを表示します。開発環境ではただの警告として一応アプリケーション自体は動きますが、本番環境では、アプリケーションを停止させるエラーとしてスローされるので注意が必要です。(詳細)
# .env
AUTH_ORIGIN = {{YOUR_URL}}// nuxt.config.ts
auth: {
baseURL: process.env.AUTH_ORIGIN,
},✅ Next由来のエラーの対応
NextAuth >= v4.23.0 Breaking change: - Package subpath './core' is not defined by "exports"上記のエラーが発生した場合は、バージョンが原因の可能性があります。
「NuxtAuth」は「NextAuth」に依存しているため、互換性のないバージョンで動かそうとすると、エラーが発生する場合があります。
Due to a breaking change in NextAuth, nuxt-auth is only compatible with NextAuth versions under v4.23.0. We recommend pinning the version to
4.21.1. Read more here.NextAuthの重大な変更により、nuxt-authはv4.23.0未満のNextAuthバージョンとのみ互換性があります。バージョンを に固定することをお勧めします
4.21.1。詳細は
こちらをご覧ください。
以下のように固定バージョンをインストールすることで解決する場合があります。
$ pnpm i next-auth@4.21.1上記以外のエラーが解決できず困った際は、公式GitHubレポジトリーのissueなどでエラー内容を検索してみましょう。すでに別のエンジニアが同様の問題を解決している場合もあります。(公式レポジトリーissueへ)
よくある質問(FAQ)
Q. Google以外のOAuthも使える?
はい、GitHub・Twitter・Auth0・LINEなど、多くのプロバイダーがサポートされています。(2025.05時点で総数「50」以上)
詳細は「Adding a provider」のセクションをご覧ください。
Nuxt Auth対応プロバイダー一覧(※2025.05時点の情報です。詳細は公式情報をご確認ください。)
42 School
Amazon Cognito
Apple
Atlassian
Auth0
Authentik
Azure Active Directory
Azure Active Directory B2C
Battle.net
Box
BoxyHQ SAML
Bungie
Coinbase
Discord
Dropbox
DuendeIdentityServer6
EVE Online
Facebook
FACEIT
Foursquare
Freshbooks
FusionAuth
GitHub
GitLab
Google
HubSpot
IdentityServer4
Instagram
Kakao
Keycloak
LINE
LinkedIn
Mail.ru
Mailchimp
Medium
Naver
Netlify
Okta
OneLogin
Osso
osu!
Patreon
Pinterest
Pipedrive
Reddit
Salesforce
Slack
Spotify
Strava
Todoist
Trakt
Twitch
Twitter
United Effects
VK
Wikimedia
WordPress.com
WorkOS
Yandex
Zitadel
Zoho
Zoom
Q. 自作の認証API(バックエンド)と連携できる?
もちろん可能です!「NuxtAuth」の強みは、OAuthだけではありません。自社のバックエンドAPIと組み合わせることで、一般的な「メールアドレス」+「パスワード」でのJWT認証基盤を作成することも可能です。
Q. グローバルミドルウェアは強制?
いいえ、任意です。ただし、globalAppMiddleware を有効にしておくと、全ページで自動的に認証チェックがかかるため、各ページごとに認証設定をする必要がなくなります。
// nuxt.config.ts
export default defineNuxtConfig({
modules: ['@sidebase/nuxt-auth'],
auth: {
globalAppMiddleware: true
}
})まとめ:Nuxt 3 × 認証ならNuxt Auth一択!
認証まわりはセキュリティリスクが高く、実装にも時間がかかります。
ですが、「sidebase/nuxt-auth」を使えば、OAuth連携からセッション管理までワンストップで導入可能。設定もシンプルで、型安全・保守性にも優れた実装が手に入ります。
「認証を早く、安全に実装したい」
そんなフロントエンドエンジニアには、まずこのライブラリを試してほしいと思います。
よし!これなら私にもできるかも…!
また、セキュリティにご興味のある方は以下の記事を参考にしてみてください。
エンジニアとしてのキャリアアップにご興味のある方は「リーダブルコードを読んだら成長が加速した話|初心者エンジニアの必読書」や「中小SES→フリーランス→年収960万円。マッチングアプリで気づいた“自分だけ年収ヤバい”問題」もあわせてご覧ください!
🚀次のステップ
- ①Nuxt Authを導入して試してみる
- ②実際のプロジェクトでログインフローを作成
- ③他のOAuthプロバイダーも試してみる