L'authentification dans l'App Router s'étend sur plusieurs couches — sessions, middleware, vérifications côté serveur et protection des Server Actions. L'approche moderne privilégie la vérification de session côté serveur aux vérifications uniquement côté client.
Stratégie de session
Cookie-based sessions (httpOnly cookie):
✓ Store a signed session id or encrypted JWT in an httpOnly, secure cookie
✓ httpOnly = not readable by JavaScript → protects against XSS token theft
✓ Use a library: Auth.js (NextAuth), Clerk, Lucia, or a custom solution
1. Vérification grossière dans le middleware (rapide, mais pas l'histoire complète)
() {
session = req..()?.;
(req...() && !session) {
.( (, req.));
}
.();
}
