複数フレームワーク間でのJWT認証の管理
Flaskをフロントエンド、FastAPIをバックエンドAPIとして使用するような複数フレームワークでアプリケーションを開発する際、認証を安全かつスムーズに管理するのは難しい場合があります。JSON Web Token(JWT)は、これらのフレームワーク間で統一された認証の仕組みを実現する強力な方法です。本記事では、その具体的な方法を紹介します。
🔑 JWTとは?
JWT(JSON Web Token)は、安全かつ簡潔な方法で情報をエンコードしてやり取りできるトークンです。構造は以下の3つのパートで構成されます:
- Header:トークンのタイプと署名アルゴリズムを指定
- Payload:ユーザー情報や有効期限などのクレームを含む
- Signature:データの改ざんを防ぐ署名
🚀 FastAPIでのJWT認証のセットアップ
依存パッケージのインストール
pip install fastapi python-jose passlib[bcrypt] uvicornJWTトークンの生成
from jose import jwt
from datetime import datetime, timedelta
SECRET_KEY = "supersecret"
ALGORITHM = "HS256"
def create_access_token(data: dict, expires_delta=None):
to_encode = data.copy()
expire = datetime.utcnow() + (expires_delta or timedelta(minutes=30))
to_encode.update({"exp": expire})
return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)🖥 FlaskでのJWT使用方法
Flaskのセットアップ
pip install flask PyJWT requestsJWTトークンの検証
import jwt
from flask import Flask, session, redirect, url_for, flash, request
app = Flask(__name__)
app.secret_key = "your_flask_secret"
JWT_SECRET_KEY = "supersecret"
JWT_ALGORITHM = "HS256"
def is_token_valid(token):
try:
jwt.decode(token, JWT_SECRET_KEY, algorithms=[JWT_ALGORITHM])
return True
except jwt.ExpiredSignatureError:
return False
except jwt.InvalidTokenError:
return False
@app.before_request
def validate_jwt():
if request.endpoint == 'login':
return
token = session.get("jwt_token")
if not token or not is_token_valid(token):
flash("セッションの有効期限が切れているか無効です。再度ログインしてください。")
return redirect(url_for("login"))🔄 フレームワーク間のJWTフロー
- ユーザーがFlask経由でログイン
- FlaskがFastAPIにJWTトークンを要求
- FastAPIがトークンを発行
- Flaskがトークンをセッションに保存
- Flaskがそのトークンを用いて各リクエストを検証
🌐 デプロイ構成図
graph TD;
Browser-->Flask(Flask Frontend);
Flask-->FastAPI(FastAPI Backend);
FastAPI-->MongoDB;
FastAPI-->JWT("JWT Token");
JWT-->Flask;
Flask-->Browser;📦 Docker Composeによる環境設定
各サービスで共通のJWTシークレットを使う設定:
services:
fastapi:
environment:
SECRET_KEY: ${SECRET_KEY}
flask:
environment:
SECRET_KEY: ${SECRET_KEY}.envファイルの例:
SECRET_KEY=supersecret🚨 よくある問題と対策
- トークンの有効期限切れ:期限切れの際に再ログインを促す
- シークレットキーの不一致:全サービスで同一のキーを使用
- 依存関係の不整合:例えば、bcryptやpasslibのバージョン問題
pip install bcrypt==4.0.1 passlib>=1.7.5🛡 セキュリティに関する注意点
- シークレットキーは安全に管理する
- HTTPSを常に使用する
- 有効期限付きのトークンとリフレッシュ機構を実装する
💡 ベストプラクティスまとめ
- 共通のシークレットキーを使う
- 各リクエストでトークンを検証する
- トークンエラー発生時にユーザーにわかりやすく通知する
📚 参考リンク
🧑💻 まとめ
FlaskとFastAPIのような複数フレームワークでJWT認証を統一することで、セキュリティを確保しつつ、保守性や拡張性も高めることができます。この記事で紹介した手順とベストプラクティスをもとに、安全でスケーラブルな認証システムを構築してください。
Get in Touch with us
Chat with Us on LINE
iiitum1984
Related Posts
- AIによる予知保全 ― センサーから予測モデルまでの全体像
- 会計業務におけるAIアシスタント ― できること・できないこと
- なぜ中小企業はERPカスタマイズに過剰なコストを支払ってしまうのか — そしてその防ぎ方
- なぜ SimpliShop を開発したのか —— 日本の中小企業の成長を支えるための新しい EC プラットフォーム
- ファインチューニング vs プロンプトエンジニアリングを徹底解説 ― 日本企業がAIを活用するための実践ガイド ―
- 精密灌漑(Precision Irrigation)入門
- IoTセンサーよりも重要なのは「データ統合」―― スマート農業が本当に抱える課題とは
- モバイルアプリ開発提案書(React / React Native)
- AIバーティカル・インテグレーション:日本企業のDXを加速し、データ駆動型の高効率な組織へ
- 日本企業向け:AI導入を一歩ずつ進める実践ガイド 2025
- EVフリート管理は「AI最適化」が鍵
- 製造業とビジネスを変革する 7つの Machine Learning(機械学習)活用事例
- LSTMによる洪水・水位予測:日本の防災を強化するAIアプローチ
- SimpliMES Lite — 日本の中小製造業向け MES 提案書(日本語版)
- 介護ロボットとオープンソース技術 — 超高齢社会を支える未来のケアテクノロジー
- 中堅・中小製造業のためのスマートファクトリー入門
- 日本企業がAI搭載のカスタムシステムへ移行する理由
- なぜ成功しているオンラインストアは SimpliShop を選ぶのか — ビジネスを「作る・育てる・勝ち続ける」ための新しい標準
- AIの垂直統合(Vertical Integration of AI)—— これからのビジネスを決定づける新しい運営モデル
- AI予測システム — あなたの意思決定を“超能力”へ
