Next.js App Router অ্যাপে আপনি কীভাবে প্রমাণীকরণ পরিচালনা করেন?

Question

Accepted Answer

App Router-এ প্রমাণীকরণ বিভিন্ন স্তরে বিস্তৃত — সেশন, মিডলওয়্যার, সার্ভার-সাইড চেক এবং Server Actions সুরক্ষা। আধুনিক পদ্ধতি ক্লায়েন্ট-অনলি চেকের পরিবর্তে **সার্ভার-সাইড সেশন যাচাইকরণ**কে অগ্রাধিকার দেয়। ## সেশন কৌশল ```text Cookie-based sessions (httpOnly cookie): ✓ Store a signed session id or encrypted JWT in an httpOnly, secure cookie ✓ httpOnly = not readable by JavaScript → protects against XSS token theft ✓ Use a library: Auth.js (NextAuth), Clerk, Lucia, or a custom solution ``` ## ১. মিডলওয়্যারে মোটা গেটিং (দ্রুত, কিন্তু সম্পূর্ণ গল্প নয়) ```ts // middleware.ts — quick check: does a session cookie exist? export function middleware(req: NextRequest) { const session = req.cookies.get("session")?.value; if (req.nextUrl.pathname.startsWith("/dashboard") && !session) { return NextResponse.redirect(new URL("/login", req.url)); } return NextResponse.next(); } ``` মিডলওয়্যার প্রতিটি ম্যাচ করা অনুরোধের আগে Edge-এ চলে — সাশ্রয়ী রিডাইরেক্টের জন্য আদর্শ। তবে এটি শুধুমাত্র একটি *লাইটওয়েট* উপস্থিতি চেক করা উচিত; এটিকে একমাত্র প্রমাণীকরণ হিসাবে নির্ভর করবেন না (কুকি অবৈধ হতে পারে)। ## ২. যেখানে আপনি ডেটা ব্যবহার করেন সেখানে সেশন যাচাই করুন (আসল গেট) ```tsx // app/dashboard/page.tsx — verify on the server, in the page itself import { redirect } from "next/navigation"; export default async function Dashboard() { const user = await getCurrentUser(); // validates the session cookie server-side if (!user) redirect("/login"); // authoritative check return

Welcome {user.name}

; } ``` এই সার্ভার-সাইড যাচাইকরণ (Server Component-এ) হল **অনুমোদিত** চেক — এটি প্রকৃতপক্ষে সেশন যাচাই করে এবং ব্যবহারকারী লোড করে। ## ৩. Server Actions এবং Route Handlers-ও সুরক্ষিত করুন ```tsx "use server"; export async function deletePost(id: string) { const user = await getCurrentUser(); if (!user) throw new Error("Unauthorized"); // never trust the caller if (post.authorId !== user.id) throw new Error("Forbidden"); // authorization await db.post.delete({ where: { id } }); } ``` Server Actions হল জনসাধারণের এন্ডপয়েন্ট — **সর্বদা তাদের ভিতরে প্রমাণীকরণ এবং অনুমোদন পুনরায় চেক করুন**, UI-স্তরের গেটিং নির্বিশেষে। ## স্তরযুক্ত চেকের কারণ ```text Middleware → fast redirect for the common case (better UX, not security-critical) Server Component/Action → real verification (security boundary) Never rely on hiding UI in the client as a security measure ``` ## কেন এটি গুরুত্বপূর্ণ App Router-এ প্রমাণীকরণ গভীর প্রতিরক্ষা: httpOnly কুকি (XSS-নিরাপদ সেশন), দ্রুত রিডাইরেক্টের জন্য মিডলওয়্যার এবং — সবচেয়ে গুরুত্বপূর্ণভাবে — **প্রতিটি ডেটা-অ্যাক্সেস এবং মিউটেশন পয়েন্টে সার্ভার-সাইড যাচাইকরণ**। সাধারণ, বিপজ্জনক ভুল হল একটি মিডলওয়্যার চেক বা লুকানো ক্লায়েন্ট UI কে যথেষ্ট হিসাবে বিবেচনা করা; প্রকৃত সুরক্ষা সেশন যাচাই এবং অনুমোদন যাচাই থেকে আসে যেখানে সংবেদনশীল ডেটা পড়া বা পরিবর্তন করা হয়।