feat: 認証機能バックエンド実装 (Phase 1.1-1.3)

- 招待コード検証: 新規登録時にINVITE_CODE環境変数と照合
- パスワードハッシュ化: bcryptによるパスワード管理
- ログインエンドポイント: /api/login 追加
- GAS認証API: registerUser/loginUser対応

新規ファイル:
- src/services/auth_service.py

修正ファイル:
- app.py: RegisterUserRequest拡張、LoginRequest追加
- src/services/gas_client.py: login()メソッド追加
- gas/Code.gs: password_hash列追加、loginUser関数追加
- requirements.txt: bcrypt追加

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

app.py

@@ -23,6 +23,7 @@ load_dotenv()
 from src.services.gemini_service import GeminiService
 from src.services.gas_client import GASClient
 from src.services.knowledge_service import KnowledgeService
+from src.services.auth_service import AuthService
 
 # ロギング設定
 logging.basicConfig(level=logging.INFO)
@@ -47,6 +48,8 @@ knowledge_service = KnowledgeService()
 
 class RegisterUserRequest(BaseModel):
     username: str
+    password: str
+    invite_code: str
 
 class StartSessionRequest(BaseModel):
     user_id: str
@@ -77,6 +80,10 @@ class GetEvaluationRequest(BaseModel):
     session_id: str
     subjects: Optional[List[str]] = None
 
+class LoginRequest(BaseModel):
+    username: str
+    password: str
+
 
 # =============================================================================
 # APIエンドポイント
@@ -100,13 +107,84 @@ async def health_check():
 async def register_user(request: RegisterUserRequest):
     """ユーザー登録"""
     try:
-        result = await gas_client.register_user(request.username)
+        # 招待コード検証
+        valid_invite_code = os.environ.get("INVITE_CODE", "")
+
+        if not valid_invite_code:
+            logger.error("register_user: INVITE_CODE environment variable is not set")
+            raise HTTPException(status_code=403, detail="招待コードが設定されていません")
+
+        if request.invite_code != valid_invite_code:
+            logger.warning(f"register_user: Invalid invite code attempt for user '{request.username}'")
+            raise HTTPException(status_code=403, detail="招待コードが無効です")
+
+        logger.info(f"register_user: Invite code verified for user '{request.username}'")
+
+        # パスワードをハッシュ化
+        hashed_password = AuthService.hash_password(request.password)
+        logger.info(f"register_user: Password hashed for user '{request.username}'")
+
+        # GAS連携処理（ハッシュ化されたパスワードを渡す）
+        result = await gas_client.register_user(request.username, hashed_password)
+
+        # 既存ユーザーの場合はエラー
+        if result.get("data", {}).get("is_new") == False:
+            raise HTTPException(status_code=409, detail="このユーザー名は既に登録されています")
+
         return result
+    except HTTPException:
+        # HTTPExceptionはそのまま再送出
+        raise
     except Exception as e:
         logger.error(f"register_user error: {e}")
         raise HTTPException(status_code=500, detail=str(e))
 
 
+@app.post("/api/login")
+async def login(request: LoginRequest):
+    """ログイン"""
+    try:
+        # GASからユーザー情報取得
+        result = await gas_client.login(request.username)
+
+        data = result.get("data", {})
+
+        # ユーザーが見つからない場合
+        if not data.get("found"):
+            logger.warning(f"login: User not found: '{request.username}'")
+            raise HTTPException(status_code=401, detail="ユーザー名またはパスワードが正しくありません")
+
+        stored_hash = data.get("password_hash")
+
+        # パスワード未設定の既存ユーザー（v1.0からの移行ユーザー）
+        if not stored_hash:
+            logger.info(f"login: User '{request.username}' needs password migration")
+            raise HTTPException(
+                status_code=403,
+                detail="パスワードが未設定です。新規登録画面からパスワードを設定してください。"
+            )
+
+        # パスワード検証
+        if not AuthService.verify_password(request.password, stored_hash):
+            logger.warning(f"login: Invalid password for user '{request.username}'")
+            raise HTTPException(status_code=401, detail="ユーザー名またはパスワードが正しくありません")
+
+        logger.info(f"login: User '{request.username}' logged in successfully")
+
+        return {
+            "success": True,
+            "data": {
+                "user_id": data.get("user_id"),
+                "username": data.get("username")
+            }
+        }
+    except HTTPException:
+        raise
+    except Exception as e:
+        logger.error(f"login error: {e}")
+        raise HTTPException(status_code=500, detail=str(e))
+
+
 @app.post("/api/start_session")
 async def start_session(request: StartSessionRequest):
     """セッション開始"""

requirements.txt

@@ -13,3 +13,6 @@ python-dotenv==1.0.1
 
 # JSON Processing
 orjson==3.10.12
+
+# Password Hashing
+bcrypt==4.2.1

src/services/auth_service.py

@@ -0,0 +1,89 @@
+"""
+認証サービス - パスワードハッシュ化・検証
+
+bcryptを使用した安全なパスワード管理機能を提供
+"""
+import bcrypt
+import logging
+from typing import Optional
+
+logger = logging.getLogger(__name__)
+
+
+class AuthService:
+    """認証関連のサービス - パスワードハッシュ化と検証"""
+
+    @staticmethod
+    def hash_password(password: str) -> str:
+        """
+        パスワードをbcryptでハッシュ化
+
+        Args:
+            password: 平文パスワード
+
+        Returns:
+            str: ハッシュ化されたパスワード（UTF-8文字列）
+
+        Raises:
+            ValueError: パスワードが空文字列の場合
+        """
+        if not password or not password.strip():
+            raise ValueError("Password cannot be empty")
+
+        try:
+            # ソルト生成とハッシュ化
+            salt = bcrypt.gensalt()
+            hashed = bcrypt.hashpw(password.encode('utf-8'), salt)
+            return hashed.decode('utf-8')
+        except Exception as e:
+            logger.error(f"Password hashing error: {e}")
+            raise
+
+    @staticmethod
+    def verify_password(password: str, hashed: str) -> bool:
+        """
+        パスワードを検証
+
+        Args:
+            password: 平文パスワード
+            hashed: ハッシュ化されたパスワード
+
+        Returns:
+            bool: パスワードが一致すればTrue、それ以外はFalse
+        """
+        if not password or not hashed:
+            logger.warning("verify_password: Empty password or hash provided")
+            return False
+
+        try:
+            return bcrypt.checkpw(
+                password.encode('utf-8'),
+                hashed.encode('utf-8')
+            )
+        except Exception as e:
+            logger.error(f"Password verification error: {e}")
+            return False
+
+    @staticmethod
+    def validate_password_strength(password: str) -> tuple[bool, Optional[str]]:
+        """
+        パスワード強度を検証（オプション）
+
+        Args:
+            password: 検証するパスワード
+
+        Returns:
+            tuple[bool, Optional[str]]: (検証結果, エラーメッセージ)
+        """
+        if not password:
+            return False, "パスワードが空です"
+
+        if len(password) < 8:
+            return False, "パスワードは8文字以上必要です"
+
+        # 追加の強度チェック（必要に応じて）
+        # has_upper = any(c.isupper() for c in password)
+        # has_lower = any(c.islower() for c in password)
+        # has_digit = any(c.isdigit() for c in password)
+
+        return True, None

src/services/gas_client.py

@@ -56,9 +56,32 @@ class GASClient:
         logger.info(f"GAS API response: success={result.get('success', result.get('status'))}")
         return result
 
-    async def register_user(self, username: str) -> Dict[str, Any]:
-        """ユーザー登録/ログイン"""
-        return await self._call_api("register_user", {"username": username})
+    async def register_user(self, username: str, hashed_password: Optional[str] = None) -> Dict[str, Any]:
+        """
+        ユーザー登録
+
+        Args:
+            username: ユーザー名
+            hashed_password: ハッシュ化されたパスワード（省略可）
+        """
+        params = {"username": username}
+        if hashed_password:
+            params["password_hash"] = hashed_password  # GAS側のパラメータ名に合わせる
+        return await self._call_api("register_user", params)
+
+    async def login(self, username: str) -> Dict[str, Any]:
+        """
+        ログイン（パスワードハッシュ取得）
+
+        Args:
+            username: ユーザー名
+
+        Returns:
+            found: bool - ユーザーが見つかったか
+            user_id: str - ユーザーID（見つかった場合）
+            password_hash: str - パスワードハッシュ（見つかった場合）
+        """
+        return await self._call_api("login", {"username": username})
 
     async def start_session(self, user_id: str, subjects: List[str]) -> Dict[str, Any]:
         """セッション開始"""