@auth0/nextjs-auth0 v4 マイグレーションガイドのメモ

• app routerの場合、v3では/app/api/auth/[auth0]/route.tsにhandleAuthでRoute Handlerを追加する必要があった
• v4では、middlewareでrouteが自動的にマウントされる

import type { NextRequest } from "next/server"

import { auth0 } from "./lib/auth0"

export async function middleware(request: NextRequest) {
  return await auth0.middleware(request)
}

• SDK公式のexample
• /apiのプレフィックスも不要になった
  • 例えば、/api/auth/loginは /auth/loginに
• routeのリスト
• Allowed Callback URLsの修正が適宜必要になる

• v4ではミドルウェアのマウントが必須
  • ミドルウェアがSDKの中心的な役割

• デフォルトで保護するルートはない
• 保護するルートに対してはmiddlewareでgetSessionを呼ぶ
• データソースのなるべく近くでセキュリティチェックが望ましい

• <UserProvider /> は<Auth0Provider />にリネームされた
• v4ではこのプロバイダーの利用が必須ではない

v4ではローリングセッションが設定不要でデフォルト有効

https://github.com/auth0/nextjs-auth0/tree/v4.0.0?tab=readme-ov-file#session-configuration

• withPageAuthRequiredやwithApiAuthRequiredは廃止
• サーバーサイドならgetSessionで認証状態チェック入れる
• ブラウザならuseUserhookで代替

• v3におけるカスタムハンドラーのauthorizationParamsは、v4でエンドポイントのURLにクエリーパラメーターでつけられるように
  • /auth/login?audience=urn:my-api
• SDK初期化の設定に入れる方法もある

• v3までid tokenに含まれるclaimsは全てセッションのuserオブジェクトへと追加されてた
  • cookieのサイズ肥大化に影響してた
• v4からはデフォルトで特定のclaimsのみに限定される

• @auth0/nextjs-auth0/edgeのexportはなくなった
  • デフォルトでedge互換
• SDKが保存するcookieは SameSite=Laxがデフォルト
• touchSessionメソッドは廃止
• getAccessTokenをReact Server Componentsで呼べるように