前回の記事では、Nuxt × Amplify 認証の仕組みを整理しつつ、最後に「AWS Amplify と HttpOnly Cookie 対応について」という補足を書きました。

🔗 前回の記事

magnet88jp.hateblo.jp

今回は、その補足として触れた 「Cookie ベースのサーバーセッション方式」 を実際に Nuxt へ実装した話をまとめます。

AWS Amplify（Cognito User Pool）を使った認証はとても便利ですが、実のところ SSR（サーバーサイドレンダリング）と相性が悪い という制約があります。

• Amplify の認証は SPA（CSR）前提 に設計されている
• 認証情報（idToken / accessToken）は ブラウザの JavaScript からしか取得できない
• SSR 中は fetchAuthSession() が実行できない
• 結果、SSR ページは「ログイン状態」を判定できない
• server/api から Amplify Data や Backend を呼ぶ場合も token が取れず認証が崩れがち

❗なぜ Amplify は SSR と相性が悪いのか？

Amplify のログイン状態は以下のように管理されています：

ログイン → fetchAuthSession() → idToken, accessToken を JS で保持

しかし SSR では JS が動作しないため、

• idToken の値がない
• トークンを使う API 認証が成立しない
• SSR で状態の判定ができない

という根本的問題が起きます。

つまり SSR の世界で「認証情報が存在しない」 のです。

この問題を解決しない限り、Nuxt の SSR はまともに動きません。

🔑 そこで必要なのが「サーバー側セッション」です

Nuxt は SSR 中に Cookie のみを自動で送信できます。

この性質を活かし、認証方式を以下のように再設計します：

1. クライアントで Cognito にログイン（CSR）
2. idToken をサーバーの API に送る
3. サーバーで検証 → 署名済みの JWT に作り直し、HttpOnly Cookie として保存
4. SSR / server API は Cookie を読むだけで認証可能

ポイントは idToken をそのまま Cookie に入れない こと。

攻撃面を減らすため、

• サーバー側で署名した独自 JWT
• HttpOnly + secure + sameSite=Lax
• 有効期限は Cognito の exp に合わせる

というセキュアな形へ変換します。

これにより、

• SSR
• server/api
• Amplify Data の backend 呼び出し

すべてが自然にログイン状態を扱えるようになります。

🏗️ 実際のフロー（全体図）

[CSR] Amplify Auth でログイン
         │
         ▼
 fetchAuthSession() で idToken を取得
         │
         ▼
   POST /api/auth/session
    （idToken を送る）
         │
         ▼
[Server] Cognito 公開鍵で idToken を検証
         │
         ▼
   user情報 + idToken を含む JWT を生成
         │
         ▼
 HttpOnly Cookie 'app_session' として保存
         │
         └───────────┐
                     ▼
      SSR / server/api / Middleware
       Cookie を参照 → 認証が成立

🧩 セッション Cookie の構造

サーバー側が発行する Cookie（app_session）は次のような情報を含みます：

• sub（ユーザーID）
• email
• cognito:groups
• idToken（Amplify Data の認可に使用）
• exp（Cognito の期限に合わせる）

これらを jsonwebtoken で署名し、HttpOnly Cookie として保存します。

🎯 この方式のメリット

✔ SSR と認証が自然に動く

SSR 中の API 呼び出しやページ描画で、常にログイン状態を復元できます。

✔ XSS に強い（HttpOnly Cookie）

idToken を JavaScript で保持する必要がないため、攻撃面が大きく減ります。

✔ Amplify 特有の制約を回避

Amplify の “CSR でしか動かない問題” をバイパスし、SSR 時代の Amplify を可能にするアーキテクチャになります。

✔ server/api でも Amplify Data が実行できる

Amplify Data は authToken が必要ですが、 idToken を cookie から安全に取り出すことで SSR でも使えます。

🆚 Bearer トークン vs HttpOnly Cookie

Nuxt + Amplify では、Cookie 方式が圧倒的に合理的です。

🔨 実装ポイントまとめ

1. CSR：Amplify でログイン

const session = await fetchAuthSession()
const idToken = session.tokens.idToken.toString()

2. idToken をサーバーへ送信

await fetch('/api/auth/session', {
  method: 'POST',
  credentials: 'include',
  body: JSON.stringify({ idToken }),
})

3. サーバーで Cookie へ変換（要点）

• verifyIdToken で正当性を確認
• 必要な user 情報を抽出
• JWT に署名して cookie に保存
• HttpOnly / secure / sameSite=Lax を徹底

4. SSR では session middleware が Cookie を復元

event.context.user = {
  sub,
  email,
  groups,
  idToken,
}

🧠 Nuxt × Amplify で SSR を使う人の“新しい定石”へ

今回紹介した方式は、実は Amplify Auth を SSR で扱うための最適解にかなり近い と考えています。

Amplify の制約（CSR 前提）を踏まえながら：

• セキュアで
• SSR と相性がよく
• server/api や Amplify Data の backend 呼び出しにも対応し
• 拡張性の高い

現実的で実装しやすい認証アーキテクチャです。

Nuxt で本格的に SSR と認証を両立させたい人には、ぜひ試してみてほしいやり方です。

― allow.owner() の正しい理解と、ユーザープール認証が必須になる理由

Amplify Gen2（Amplify Data v6）で owner フィールドを使った認可（Authorization）を設定したにもかかわらず、

• 新しく作成したレコードに owner が自動で入らない
• DynamoDB のテーブルにも owner カラムが出てこない

という現象に遭遇しました。

本記事では、その原因の追跡過程、Amplify Data v6 の仕様、そして最終的に問題を解決するために必要だった設定をまとめます。

🎯 結論（先にまとめ）

Amplify Data v6 における allow.owner() は User Pool（Cognito）認証で create したときだけ owner を自動セットする。

ところが今回の BoardPost は create が authenticated ルールのみで許可されていたため、owner ロジックが呼ばれず、レコードに owner が入らなかった。

1. そもそも Amplify Data v6 の allow.owner() の仕様は？

Amplify Gen2 の公式ドキュメントより：

• allow.owner() は モデルの owner フィールドを使って「所有者だけに CRUD を許可する」ルール
• owner フィールドは明示的に書くことも、書かなくてもよい（自動追加される）
• User Pool 認証（authMode: 'userPool'）で create したときだけ → トークン内の identity（通常は sub）が owner に自動セットされる

つまり、

authMode が userPool でない場合、owner は自動で入らない

ということが仕様として確定しています。

2. レコード作成時の authMode は正しく userPool だった

調査のためにサーバー側でログを追加したところ、次のように表示されていました：

[BoardPosts] authMode userPool hasToken true

つまり、

• 認証は 正しく Cognito User Pool
• 有効な JWT（authToken）も渡されている

→ それでも owner が入らない。

この時点で「authMode の問題」ではないことが確定しました。

3. 本当の原因：allow.owner().to([...]) に create が含まれていなかった

BoardPost の auth 設定はこうなっていました：

.authorization(allow => [
  allow.guest().to(['get', 'list', 'listen', 'sync']),
  allow.authenticated().to(['get', 'list', 'listen', 'sync', 'create']),
  allow.owner().to(['get', 'update', 'delete']),
])

注目すべきポイント：

• create は allow.authenticated() の方で許可している
• owner ルールの中には create が含まれていない

Amplify の owner 自動設定は、

「owner ルールで create が許可されている」 かつ 「authMode が userPool」

という 2 条件を満たしたときにだけ動く仕組みになっています。

今回の設定は create が owner ルールに含まれていないため、

create 実行時の owner 自動付与ロジックが発火しない

という状況が生まれていました。

4. DynamoDB に owner カラムが表示されなかった理由

DynamoDB はスキーマレスなので、1 件も owner を持つレコードが無ければ列として表示されません。

owner が入らない状態のまま create を何度行っても、

• owner を持つアイテムが 1 つも存在しない
• → DynamoDB コンソールに owner 列が表示されない

という挙動になります。

これは仕様通りです。

5. 解決方法：owner に create を含める

以下のように、

• owner 側に create を含める
• もしくは allow.owner() のショートカットを使う

ことで owner 自動セットが動きました。

（A）ショートカットで全操作を owner に紐付ける

allow.owner()

= create / read / update / delete を包括する

（B）明示的に create を含める方法

allow.owner().to(['create', 'read', 'update', 'delete'])

6. 修正後：owner が正しく入るようになった

修正後に投稿を作成すると、DynamoDB に以下のように owner が保存されました。

（スクリーンショット）

7. まとめ

今回の問題をまとめると次の 3 点に集約されます。

✅ 1. allow.owner() の owner 自動セットは create 時にだけ動く

✅ 2. create が owner ルールに含まれていないと owner はセットされない

✅ 3. DynamoDB に owner 列が表示されないのは「owner を持つレコードが1件もない」から

Amplify Data v6 はシンプルになったといわれていますが、 このように 認可ルールの書き方によって自動フィールド挙動が変わる ため、 挙動が分かりにくくなるケースがあります。

8. おまけ：おすすめの認可設定テンプレート

掲示板用途であれば、以下の設定が分かりやすく安全です。

.authorization(allow => [
  allow.guest().to(['read']),
  allow.authenticated().to(['read', 'create']),
  allow.owner(), // ← 所有者は CRUD すべて
])

• 投稿はログインユーザーなら作成可能
• 閲覧はゲストも OK
• 更新・削除は owner のみ

おわりに

Amplify Gen2（Data v6）での owner 自動セット周りは、 意図しない挙動になりやすいため、本記事が同様のトラブルで悩むユーザーの助けになれば嬉しいです。

他にも Amplify Data v6 / AppSync resolver の挙動で気になる点があれば、気軽にコメントください。

〜 リアルタイム更新に失敗する問題の真因は「owner フィールドが無い」〜

Nuxt4 + Amplify Gen2（Data / GraphQL）でリアルタイム購読を行うために
client.models.XXX.observeQuery() を使っていたところ、

SUBSCRIPTION ERROR:
{
  errorType: 'Unauthorized',
  message: 'Not Authorized to access listBoardPosts on type Query'
}

というエラーが、ログイン（userPool）状態のときにのみ発生するという問題に悩まされました。

最終的に分かった結論は 「owner フィールドを model に定義していなかった」ことが原因 でした。

このブログでは、同じ問題でハマっている人向けに、再現条件と解決方法をわかりやすくまとめます。

✨ 結論：owner 認可を使うなら、owner フィールドが必須

Amplify Gen2 の GraphQL Auth ルールで allow.owner() を書いた場合、
そのモデルには 必ず owner を判別するフィールドが必要 です。

例：

allow.owner().to(['get', 'list', 'update', 'delete'])

と書くと、

• 「このレコードの owner は誰か？」
• 「今の Cognito ユーザーは owner と一致するのか？」

を判定する必要があります。

しかし、モデル側が次のように owner プロパティを持っていない状態だと……？

BoardPost: a.model({
  author: a.string(),
  message: a.string(),
  imageKeys: a.string().array(),
})
.authorization(allow => [
  allow.owner(),   // ← owner フィールドが無いのに owner 認可を使用
])

❌ 誰が owner なのか判別できないため、Amplify が自動判定に失敗し Unauthorized を返す

特に observeQuery で購読を開始すると、

• onCreate
• onUpdate ← ここで Unauthorized が発生
• onDelete

などのイベントが走りますが、
owner かどうか分からないため 更新イベント（onUpdate）が弾かれる という形で問題が表面化します。

🧪 実際に起きていた症状

● ゲスト（identityPool）のとき

→ 問題なし（そもそも owner 判定しないので）

● ログイン（userPool）のとき

→ SUBSCRIPTION ERROR: Unauthorized が発生
→ 初回ロード時に「リアルタイム更新に失敗しました」と表示
→ list は取得できるが、購読だけ失敗する

エラー内容：

Not Authorized to access listBoardPosts on type Query

✅ 解決方法：owner フィールドを追加するだけ！

モデル定義に owner を追加します。

Before（エラーになる）：

BoardPost: a.model({
  author: a.string(),
  message: a.string(),
  imageKeys: a.string().array(),
})
.authorization(allow => [
  allow.guest().to(['get', 'list']),
  allow.authenticated().to(['get', 'list', 'create']),
  allow.owner(),   // ← これを使うなら owner フィールドが必要
])

After（エラー解消）：

BoardPost: a.model({
  owner: a.string(),              // ← これを追加！
  author: a.string(),
  message: a.string().required(),
  imageKeys: a.string().array(),
})
.authorization(allow => [
  allow.guest().to(['get', 'list', 'listen', 'sync']),
  allow.authenticated().to(['get', 'list', 'listen', 'sync', 'create']),
  allow.owner().to(['get', 'list', 'listen', 'sync', 'update', 'delete']),
])

これだけで、

• ログイン時の observeQuery で Unauthorized が完全に消える
• onUpdate / onDelete も正常に購読
• 初期ロード時の大量ログ（Unauthorized）がゼロに

となりました。

📌 Amplify Gen2 の注意点：owner は自動生成されない

Amplify（旧 Codegen / GraphQL Transformer）では
@auth(rules:[{allow: owner}] を書くと自動で owner フィールドを作ってくれていました。

しかし、Amplify Gen2（Data / a.model()）は自動生成しません。

そのため、owner 認可を使う場合は 明示的に owner フィールドを作る必要があります。

🔍 なぜ listBoardPosts が Unauthorized になるの？

observeQuery は内部的に

1. listBoardPosts（初期 LIST）
2. onCreate
3. onUpdate ← ここで owner 判定が必要
4. onDelete

をすべて購読します。

その中で owner を参照できないため、

• “この update を購読してよいユーザーか”
• “owner は誰なのか”

が判断できず、Amplify がファインチューニングできずに Unauthorized に落ちる仕組みです。

🛠 調査するときのポイント

① GraphQL のログを CloudWatch で確認

AppSync → Logs → field resolver errors を見ると Unauthorized が出ています。

② authMode を強制指定して切り分け

observeQuery({ authMode: 'identityPool' })

だと動く → owner が原因

③ model の auth ルールとフィールドの一致を確認

owner 認可ルールとフィールド仕様がズレると確実に落ちる。

🎉 まとめ

Amplify Gen2 では、旧来の GraphQL Transformer のように
owner フィールドを自動生成してくれないため、
owner 認可を使う＝owner フィールドを明示的に書く必要がある
という点が最大のハマりポイントになります。

同じ問題で悩んでいる方の助けになれば嬉しいです！

ESLint Stylistic + eslint-plugin-tailwindcss で統一していたのに…

Nuxt3 を使って開発している皆さん、Tailwindのクラス順のフォーマットってどうしていますか？

私はこれまで、nuxt-eslint モジュールを使い、eslint-plugin-tailwindcss を導入して、Tailwind CSS v3 のクラス順を ESLint Stylistic でしっかり統一していました。

ところが、Tailwind CSS v4 にアップデートした途端、問題が発生。

いつものように ESLint を実行すると、eslint-plugin-tailwindcss に関するエラーが出るようになりました。

「おや？バージョンの問題かな？」と思い、eslint-plugin-tailwindcss を再インストールしようとしたところ…

$ npm i -D eslint-plugin-tailwindcss
npm error code ERESOLVE
npm error ERESOLVE unable to resolve dependency tree
npm error
npm error While resolving: nuxt-app@undefined
npm error Found: tailwindcss@4.0.12
npm error node_modules/tailwindcss
npm error   tailwindcss@"^4.0.12" from the root project
npm error
npm error Could not resolve dependency:
npm error peer tailwindcss@"^3.4.0" from eslint-plugin-tailwindcss@3.18.0
npm error node_modules/eslint-plugin-tailwindcss
npm error   dev eslint-plugin-tailwindcss@"*" from the root project
npm error
npm error Fix the upstream dependency conflict, or retry
npm error this command with --force or --legacy-peer-deps
npm error to accept an incorrect (and potentially broken) dependency resolution.
npm error
npm error
npm error For a full report see:

エラー発生！ 依存関係の問題でインストールできない。

「何が起こっているんだ…？」

調べてみると、公式 GitHub Issue #325 にて、2025年3月11日現在、eslint-plugin-tailwindcss は Tailwind CSS v4 を正式にはサポートしていない ことが確認できました。

「なるほど、だからエラーが出たのか…！」

これは困った。クラスの並び順がカオスになり、レビュー時の指摘も増加。ESLint で統一できていたスタイルが崩壊し、手動で修正するのは現実的ではありません。

「Issue の内容を見ると、すぐには対応されなさそうだ…」

すぐに解決できる方法がなさそうなので、別の方法を探ることに。

できれば ESLint だけで完結したかったけど、、

幸いにも、nuxt-eslint の公式ドキュメント で Prettier の利用が推奨されていることがわかり、ESLint と併用しても問題ないことを確認できました。そこで、Prettier を導入 することにしました。

nuxt-eslint のドキュメントを確認した結果、Prettier を使うのが最適と判断し、クラスの並び順を統一することにしました。

インストール手順

npm install -D prettier prettier-plugin-tailwindcss

Prettier の設定

.prettierrc に以下の設定を追加します。

{
  "plugins": ["prettier-plugin-tailwindcss"]
}

コードのフォーマット

npx prettier --write .

これで Tailwind CSS v4 のクラス順が統一され、少なくとも「クラスがぐちゃぐちゃで読みにくい問題」は解決しました。

nuxt-eslint の公式ドキュメント にも Prettier の利用が記載されており、ESLint と組み合わせることでコードのスタイルを一貫させることができます。Prettier は Tailwind CSS のクラス順を整理し、ESLint はその他のスタイルルールをチェックする役割を担うため、併用するのが最適です。

さらに、nuxt-eslint を導入すれば ESLint のチェックは問題なく機能します。Prettier はクラスの順序整理に特化し、ESLint は他のコードスタイルやルールをチェックする役割として共存させるのがベストプラクティスです。

将来に期待！ ESLint の CSS リンティングサポート

そんな中、2025年2月に ESLint が公式に CSS のリンティングをサポート することを発表。

将来的には Tailwind CSS のフォーマットチェックも ESLint だけで完結する可能性 があります。

例えば、以下のような設定で Tailwind の構文を解析できるようになります。

import { tailwindSyntax } from "@eslint/css/syntax";

ただし、現時点では Tailwind CSS v4 のクラス順を自動で整理するところまではサポートされていません。

まとめ

Nuxt3 + nuxt-eslint ユーザーとして、現時点で Tailwind CSS v4 のフォーマットを統一するための最適解は次のとおりです。

1. Prettier（prettier-plugin-tailwindcss）でクラス順序を整理する（必須！）
2. ESLint の CSS リンティングサポートに期待しつつ、今後の改善を待つ

これらを組み合わせることで、Nuxt3 + Tailwind CSS v4 の環境を快適に保ち、開発効率を向上させることができます。

「早く ESLint だけで完結してほしい！」 という願いを抱きつつ、今は Prettier に頼るのが最善策です。

この記事が、私と同じように Tailwind CSS v4 のフォーマット問題で困っている Nuxt3 + ESLint ユーザーの助けになれば幸いです！