auth0 vs passport | 認証ライブラリ

auth0 vs passport

認証ライブラリ

認証ライブラリ

認証ライブラリは、ユーザーの認証と承認を管理するためのツールです。これらのライブラリは、アプリケーションがユーザーの身元を確認し、適切なアクセス権を付与するために必要な機能を提供します。Auth0は、外部の認証サービスを利用して簡単に統合できる一方、Passportは、Node.jsアプリケーションにおける認証を柔軟に実装するためのミドルウェアです。

npmのダウンロードトレンド

3 年

GitHub Starsランキング

統計詳細

パッケージ	ダウンロード数	Stars	サイズ	Issues	公開日時	ライセンス
パッケージ	ダウンロード数	Stars	サイズ	Issues	公開日時	ライセンス
auth0	0	679	9.51 MB	25	11日前	MIT
passport	0	23,535	157 kB	397	2年前	MIT

機能比較: auth0 vs passport

認証方法

auth0:
Auth0は、OAuth2、OpenID Connect、SAMLなどの標準的な認証プロトコルをサポートしており、さまざまな認証方法を簡単に実装できます。ユーザーは、ソーシャルログインやエンタープライズ認証を通じてシームレスにログインできます。
passport:
Passportは、さまざまな戦略をサポートしており、ローカル認証（ユーザー名とパスワード）からソーシャルログイン、JWT、OAuthなど、多様な認証方法を実装できます。独自の戦略を作成することも可能です。

設定の容易さ

auth0:
Auth0は、ダッシュボードを通じて設定を行うことができ、簡単にアプリケーションをセットアップできます。SDKを使用することで、数行のコードで認証機能を追加できます。
passport:
Passportは、設定がやや複雑ですが、柔軟性が高く、必要に応じて詳細な設定が可能です。各戦略ごとに設定を行う必要があり、カスタマイズ性は高いですが、初期設定には時間がかかることがあります。

スケーラビリティ

auth0:
Auth0は、クラウドベースのサービスであり、スケーラビリティが高く、トラフィックの増加に対しても容易に対応できます。ユーザー数の増加に伴う負荷を気にする必要がありません。
passport:
Passportは、アプリケーションのスケーラビリティを確保するためには、適切なサーバー構成やデータベースの管理が必要です。自分でホスティングする場合、スケーラビリティはアプリケーションの設計に依存します。

サポートとコミュニティ

auth0:
Auth0は、公式のサポートが充実しており、豊富なドキュメントやチュートリアルが提供されています。コミュニティも活発で、質問や問題に対する回答を得やすいです。
passport:
Passportは、オープンソースであり、広範なコミュニティが存在しますが、公式のサポートはありません。ドキュメントは充実していますが、問題解決にはコミュニティの助けが必要になることがあります。

学習曲線

auth0:
Auth0は、使いやすいインターフェースと豊富なリソースがあるため、比較的短期間で習得できます。特に、初心者にとっては扱いやすい選択肢です。
passport:
Passportは、柔軟性が高い反面、設定や戦略の理解に時間がかかるため、学習曲線が急になることがあります。特に、認証の概念に不慣れな場合は、理解するのに時間がかかるかもしれません。

選び方: auth0 vs passport

auth0:
Auth0を選択するのは、迅速な開発と外部認証プロバイダーとの統合が必要な場合です。特に、ソーシャルログインや多要素認証などの高度な機能を簡単に利用したい場合に適しています。
passport:
Passportを選択するのは、カスタマイズ可能な認証フローが必要な場合です。特に、自分のアプリケーションに特化した認証戦略を実装したい場合や、特定の要件に応じて柔軟に対応したい場合に適しています。

人気の比較

auth0と類似したnpmパッケージ

auth0は、アプリケーションに認証機能を簡単に追加できるサービスです。ユーザーの認証、承認、セキュリティを管理するための強力なツールを提供します。Auth0は、ソーシャルログイン、パスワードレスログイン、マルチファクター認証など、さまざまな認証オプションをサポートしており、開発者はこれらの機能を迅速に統合できます。これにより、アプリケーションのセキュリティを向上させ、ユーザーエクスペリエンスを向上させることができます。

一方で、passportは、Node.jsアプリケーション向けの認証ミドルウェアです。Passportは非常に柔軟で、さまざまな認証戦略をサポートしています。これにより、開発者は独自の認証フローを構築したり、複数の認証方法を統合したりすることができます。Passportは、ユーザーの認証をカスタマイズしたい場合や、特定の要件に基づいて認証戦略を選択したい場合に適しています。

Auth0とPassportの違いは、Auth0がフルマネージドサービスであるのに対し、Passportはよりカスタマイズ可能なミドルウェアである点です。Auth0は、迅速に認証機能を実装したい開発者にとって便利ですが、Passportは特定のニーズに応じて柔軟に認証を設定したい開発者に適しています。

比較を確認するには、こちらをご覧ください: Comparing auth0 vs passport。

passportと類似したnpmパッケージ

passportは、Node.jsアプリケーション向けの認証ミドルウェアです。さまざまな認証戦略をサポートしており、ユーザーの認証を簡単に実装できるように設計されています。passportを使用することで、ソーシャルログインやローカルログインなど、さまざまな方法でユーザーを認証することができますが、他にもいくつかの代替ライブラリがあります。以下はその一部です。

bcryptは、パスワードのハッシュ化と検証を行うためのライブラリです。ユーザーのパスワードを安全に保存するために、bcryptは強力なハッシュアルゴリズムを使用します。passportと組み合わせて使用することで、ユーザーのパスワードを安全に管理し、認証プロセスを強化することができます。特に、セキュリティを重視するアプリケーションにおいて、bcryptは非常に重要な役割を果たします。
express-sessionは、Expressアプリケーションにおけるセッション管理を提供するミドルウェアです。ユーザーがログインした後、そのセッションを管理するために使用されます。passportと組み合わせることで、ユーザーの認証状態を維持し、セッション情報を安全に管理することができます。セッション管理は、ユーザー体験を向上させるために不可欠です。
jsonwebtokenは、JSON Web Tokens (JWT) を生成および検証するためのライブラリです。JWTは、ユーザーの認証情報を安全に伝達するためのトークン形式であり、特にAPIベースのアプリケーションで広く使用されています。passportと組み合わせることで、JWTを使用した認証フローを実装し、セキュアなAPIアクセスを提供することができます。

これらのライブラリの比較については、以下のリンクをご覧ください: Comparing bcrypt vs express-session vs jsonwebtoken vs passport。

auth0

passport

auth0 のREADME

Release Downloads

📚 Documentation - 🚀 Getting Started - 💻 API Reference - 💬 Feedback

Documentation

Docs Site - explore our docs site and learn more about Auth0
SDK Documentation - explore the SDK documentation
API Reference - full reference for this library

Getting Started

Requirements

This library supports the following tooling versions:

Node.js: ^20.19.0 || ^22.12.0 || ^24.0.0

Installation

Using npm in your project directory run the following command:

npm install auth0

Configure the SDK

Authentication API Client

This client can be used to access Auth0's Authentication API.

import { AuthenticationClient } from "auth0";

const auth0 = new AuthenticationClient({
    domain: "{YOUR_TENANT_AND REGION}.auth0.com",
    clientId: "{YOUR_CLIENT_ID}",
    clientSecret: "{OPTIONAL_CLIENT_SECRET}",
});

Management API Client

The Auth0 Management API is meant to be used by back-end servers or trusted parties performing administrative tasks. Generally speaking, anything that can be done through the Auth0 dashboard (and more) can also be done through this API.

Initialize your client class with a domain and token:

import { ManagementClient } from "auth0";

const management = new ManagementClient({
    domain: "{YOUR_TENANT_AND REGION}.auth0.com",
    token: "{YOUR_API_V2_TOKEN}",
});

Or use client credentials:

import { ManagementClient } from "auth0";

const management = new ManagementClient({
    domain: "{YOUR_TENANT_AND REGION}.auth0.com",
    clientId: "{YOUR_CLIENT_ID}",
    clientSecret: "{YOUR_CLIENT_SECRET}",
    withCustomDomainHeader: "auth.example.com", // Optional: Auto-applies to whitelisted endpoints
});

UserInfo API Client

This client can be used to retrieve user profile information.

import { UserInfoClient } from "auth0";

const userInfo = new UserInfoClient({
    domain: "{YOUR_TENANT_AND REGION}.auth0.com",
});

// Get user info with an access token
const userProfile = await userInfo.getUserInfo(accessToken);

Legacy Usage

If you are migrating from the legacy node-auth0 package (v4.x) or need to maintain compatibility with legacy code, you can use the legacy export which provides the node-auth0 v4.x API interface.

Installing Legacy Version

The legacy version (node-auth0 v4.x) is available through the /legacy export path:

// Import the legacy version (node-auth0 v4.x API)
import { ManagementClient, AuthenticationClient } from "auth0/legacy";

// Or using CommonJS
const { ManagementClient, AuthenticationClient } = require("auth0/legacy");

Legacy Configuration

The legacy API uses the node-auth0 v4.x configuration format and method signatures, which are different from the current v5 API:

Legacy Management Client

import { ManagementClient } from "auth0/legacy";

const management = new ManagementClient({
    domain: "{YOUR_TENANT_AND REGION}.auth0.com",
    clientId: "{YOUR_CLIENT_ID}",
    clientSecret: "{YOUR_CLIENT_SECRET}",
    scope: "read:users update:users",
});

// Legacy API methods use promise-based patterns (node-auth0 v4.x style)
management.users
    .getAll()
    .then((users) => console.log(users))
    .catch((err) => console.error(err));

// Or with async/await
try {
    const users = await management.users.getAll();
    console.log(users);
} catch (err) {
    console.error(err);
}

Legacy Authentication Client

import { AuthenticationClient } from "auth0/legacy";

const auth0 = new AuthenticationClient({
    domain: "{YOUR_TENANT_AND REGION}.auth0.com",
    clientId: "{YOUR_CLIENT_ID}",
    clientSecret: "{YOUR_CLIENT_SECRET}",
});

// Legacy authentication methods (node-auth0 v4.x style)
auth0.oauth
    .passwordGrant({
        username: "user@example.com",
        password: "password",
        audience: "https://api.example.com",
    })
    .then((userData) => {
        console.log(userData);
    })
    .catch((err) => {
        console.error("Authentication error:", err);
    });

// Or with async/await
try {
    const userData = await auth0.oauth.passwordGrant({
        username: "user@example.com",
        password: "password",
        audience: "https://api.example.com",
    });
    console.log(userData);
} catch (err) {
    console.error("Authentication error:", err);
}

Migration from Legacy (node-auth0 v4) to v5

When migrating from node-auth0 v4.x to the current v5 SDK, note the following key differences:

Method Names: Many method names have changed to be more descriptive
Type Safety: Enhanced TypeScript support with better type definitions
Error Handling: Unified error handling with specific error types
Configuration: Simplified configuration options

Example Migration

Legacy (node-auth0 v4.x) code:

const { ManagementClient } = require("auth0/legacy");

const management = new ManagementClient({
    domain: "your-tenant.auth0.com",
    clientId: "YOUR_CLIENT_ID",
    clientSecret: "YOUR_CLIENT_SECRET",
    scope: "read:users",
});

// With promises
management.users
    .getAll({ search_engine: "v3" })
    .then((users) => {
        console.log(users);
    })
    .catch((err) => {
        console.error(err);
    });

// Or with async/await
try {
    const users = await management.users.getAll({ search_engine: "v3" });
    console.log(users);
} catch (err) {
    console.error(err);
}

v5 equivalent:

import { ManagementClient } from "auth0";

const management = new ManagementClient({
    domain: "your-tenant.auth0.com",
    clientId: "YOUR_CLIENT_ID",
    clientSecret: "YOUR_CLIENT_SECRET",
});

// With promises
management.users
    .list({
        searchEngine: "v3",
    })
    .then((users) => {
        console.log(users);
    })
    .catch((error) => {
        console.error(error);
    });

// Or with async/await
try {
    const users = await management.users.list({
        searchEngine: "v3",
    });
    console.log(users);
} catch (error) {
    console.error(error);
}

Request and Response Types

The SDK exports all request and response types as TypeScript interfaces. You can import them directly:

import { ManagementClient, Management, ManagementError } from "auth0";

const client = new ManagementClient({
    domain: "your-tenant.auth0.com",
    token: "YOUR_TOKEN",
});

// Use the request type
const listParams: Management.ListActionsRequestParameters = {
    triggerId: "post-login",
    actionName: "my-action",
};

const actions = await client.actions.list(listParams);

API Reference

Generated Documentation

Full Reference - complete API reference guide

Key Classes

ManagementClient - for Auth0 Management API operations
AuthenticationClient - for Auth0 Authentication API operations
UserInfoClient - for retrieving user profile information

Exception Handling

When the API returns a non-success status code (4xx or 5xx response), a subclass of the following error will be thrown.

import { ManagementError } from "auth0";

try {
    await client.actions.create({
        name: "my-action",
        supported_triggers: [{ id: "post-login" }],
        code: "exports.onExecutePostLogin = async (event, api) => { console.log('Hello World'); };",
    });
} catch (err) {
    if (err instanceof ManagementError) {
        console.log(err.statusCode);
        console.log(err.message);
        console.log(err.body);
        console.log(err.rawResponse);
    }
}

Pagination

Some list endpoints are paginated. You can iterate through pages using default values:

import { ManagementClient } from "auth0";

const client = new ManagementClient({
    domain: "your-tenant.auth0.com",
    token: "YOUR_TOKEN",
});

// Using default pagination (page size defaults vary by endpoint)
let page = await client.actions.list();
for (const item of page.data) {
    console.log(item);
}

while (page.hasNextPage()) {
    page = await page.getNextPage();
    for (const item of page.data) {
        console.log(item);
    }
}

Or you can explicitly control pagination using page and per_page parameters:

// Offset-based pagination (most endpoints)
let page = await client.actions.list({
    page: 0, // Page number (0-indexed)
    per_page: 25, // Number of items per page
});

for (const item of page.data) {
    console.log(item);
}

while (page.hasNextPage()) {
    page = await page.getNextPage();
    for (const item of page.data) {
        console.log(item);
    }
}

Some endpoints use checkpoint pagination with from and take parameters:

// Checkpoint-based pagination (e.g., connections, organizations)
let page = await client.connections.list({
    take: 50, // Number of items per page
});

for (const item of page.data) {
    console.log(item);
}

while (page.hasNextPage()) {
    page = await page.getNextPage();
    for (const item of page.data) {
        console.log(item);
    }
}

Advanced

Additional Headers

If you would like to send additional headers as part of the request, use the headers request option.

const response = await client.actions.create(
    {
        name: "my-action",
        supported_triggers: [{ id: "post-login" }],
    },
    {
        headers: {
            "X-Custom-Header": "custom value",
        },
    },
);

Request Helpers

The SDK provides convenient helper functions for common request configuration patterns:

import { ManagementClient, CustomDomainHeader, withTimeout, withRetries, withHeaders, withAbortSignal } from "auth0";

const client = new ManagementClient({
    domain: "your-tenant.auth0.com",
    token: "YOUR_TOKEN",
});

// Example 1: Use custom domain header for specific requests
const reqOptions = {
    ...CustomDomainHeader("auth.example.com"),
    timeoutInSeconds: 30,
};
await client.actions.list({}, reqOptions);

// Example 2: Combine multiple options
const reqOptions = {
    ...withTimeout(30),
    ...withRetries(3),
    ...withHeaders({
        "X-Request-ID": crypto.randomUUID(),
        "X-Operation-Source": "admin-dashboard",
    }),
};
await client.actions.list({}, reqOptions);

// Example 3: For automatic custom domain header on whitelisted endpoints
const client = new ManagementClient({
    domain: "your-tenant.auth0.com",
    token: "YOUR_TOKEN",
    withCustomDomainHeader: "auth.example.com", // Auto-applies to whitelisted endpoints
});

// Example 4: Request cancellation
const controller = new AbortController();
const reqOptions = {
    ...withAbortSignal(controller.signal),
    ...withTimeout(30),
};
const promise = client.actions.list({}, reqOptions);

// Cancel after 10 seconds
setTimeout(() => controller.abort(), 10000);

Available helper functions:

CustomDomainHeader(domain) - Configure custom domain header for specific requests
withTimeout(seconds) - Set request timeout
withRetries(count) - Configure retry attempts
withHeaders(headers) - Add custom headers
withAbortSignal(signal) - Enable request cancellation

To apply the custom domain header globally across your application, use the withCustomDomainHeader option when initializing the ManagementClient. This will automatically inject the header for all whitelisted endpoints.

Retries

The SDK is instrumented with automatic retries with exponential backoff. A request will be retried as long as the request is deemed retryable and the number of retry attempts has not grown larger than the configured retry limit (default: 2).

A request is deemed retryable when any of the following HTTP status codes is returned:

408 (Timeout)
429 (Too Many Requests)
5XX (Internal Server Errors)

Use the maxRetries request option to configure this behavior.

const response = await client.actions.create(
    {
        name: "my-action",
        supported_triggers: [{ id: "post-login" }],
    },
    {
        maxRetries: 0, // override maxRetries at the request level
    },
);

Timeouts

The SDK defaults to a 60 second timeout. Use the timeoutInSeconds option to configure this behavior.

const response = await client.actions.create(
    {
        name: "my-action",
        supported_triggers: [{ id: "post-login" }],
    },
    {
        timeoutInSeconds: 30, // override timeout to 30s
    },
);

Aborting Requests

The SDK allows users to abort requests at any point by passing in an abort signal.

const controller = new AbortController();
const response = await client.actions.create(
    {
        name: "my-action",
        supported_triggers: [{ id: "post-login" }],
    },
    {
        abortSignal: controller.signal,
    },
);
controller.abort(); // aborts the request

Logging

The SDK supports configurable logging for debugging API requests and responses. By default, logging is silent.

import { ManagementClient } from "auth0";

const client = new ManagementClient({
    domain: "your-tenant.auth0.com",
    clientId: "YOUR_CLIENT_ID",
    clientSecret: "YOUR_CLIENT_SECRET",
    logging: {
        level: "debug", // "debug" | "info" | "warn" | "error"
        silent: false, // Set to false to enable logging output
    },
});

You can also provide a custom logger implementation:

import { ManagementClient } from "auth0";

const customLogger = {
    debug: (msg, ...args) => myLogger.debug(msg, args),
    info: (msg, ...args) => myLogger.info(msg, args),
    warn: (msg, ...args) => myLogger.warn(msg, args),
    error: (msg, ...args) => myLogger.error(msg, args),
};

const client = new ManagementClient({
    domain: "your-tenant.auth0.com",
    clientId: "YOUR_CLIENT_ID",
    clientSecret: "YOUR_CLIENT_SECRET",
    logging: {
        level: "info",
        logger: customLogger,
        silent: false,
    },
});

Access Raw Response Data

The SDK provides access to raw response data, including headers, through the .withRawResponse() method. The .withRawResponse() method returns a promise that results to an object with a data and a rawResponse property.

const { data, rawResponse } = await client.actions
    .create({
        name: "my-action",
        supported_triggers: [{ id: "post-login" }],
    })
    .withRawResponse();

console.log(data);
console.log(rawResponse.headers);

Runtime Compatibility

The SDK defaults to node-fetch but will use the global fetch client if present. The SDK works in the following runtimes:

Node.js 20.19.0+, 22.12.0+, 24+
Vercel
Cloudflare Workers
Deno v1.25+
Bun 1.0+
React Native

Feedback

Contributing

We appreciate feedback and contribution to this repo! Before you get started, please see the following:

While we value open-source contributions to this SDK, this library is generated programmatically. Additions made directly to this library would have to be moved over to our generation code, otherwise they would be overwritten upon the next generated release. Feel free to open a PR as a proof of concept, but know that we will not be able to merge it as-is. We suggest opening an issue first to discuss with us!

On the other hand, contributions to the README are always very welcome!

Raise an issue

To provide feedback or report a bug, please raise an issue on our issue tracker.

Vulnerability Reporting

Please do not report security vulnerabilities on the public GitHub issue tracker. The Responsible Disclosure Program details the procedure for disclosing security issues.

What is Auth0?

Auth0 Logo

Auth0 is an easy to implement, adaptable authentication and authorization platform. To learn more checkout Why Auth0?

This project is licensed under the MIT license. See the LICENSE file for more info.