さかした
【14章】セキュリティ対策(商用利用では推奨)の振り返り
2026年07月01日
要約を生成中...
以前学習した Next.js × Supabase のセキュリティ対策について、改めて復習しました。
一度実装した内容でしたが、改めて学び直すことで「なぜこの実装をするのか」という背景まで理解することができました。
特に印象に残ったのは、認証情報をクライアント側ではなくサーバーサイドで管理する設計です。middleware を利用した認証や、httpOnly Cookie を利用することで、XSS や CSRF などの攻撃リスクを軽減し、安全性を高められることを再確認しました。
また、Next.js が BFF(Backend For Frontend)として認証情報を管理する役割を持つことで、ブラウザに認証情報を露出させない設計になっていることも改めて理解できました。
一度学習した内容でも、時間を空けて学び直すことで、新たな気づきが多くありました。
初めて学んだときは「このように実装するものなんだ」という理解でしたが、今回は「なぜその設計が推奨されているのか」「どんなリスクを防ぐためなのか」という視点で理解することができました。
特に、httpOnly を設定していない場合には JavaScript から認証情報へアクセスできてしまうことや、middleware による境界防御の重要性は、商用サービスを開発するうえで必須の知識だと改めて感じました。
やはり知識は一度学ぶだけでは定着しません。実装経験を積んだあとに復習すると、「点」で理解していたものが「線」としてつながる感覚があり、以前よりも理解が深まったと感じています。
自分のアプリでも、認証・認可の実装をセキュリティの観点から見直してみる
Cookie の設定や middleware の役割を、コードを書きながら再度整理する
BFF の設計思想についてさらに理解を深め、API 駆動開発にも活かしていく
定期的に過去に学んだ内容を復習し、「実装できる知識」だけでなく「説明できる知識」にしていく
要約
コメント
まだコメントはありません。