Kaip tvarkyti autentifikaciją Next.js App Router programoje?

Question

Accepted Answer

Autentifikacija App Router apima kelis sluoksnius — sesijas, middleware, serverio pusės patikrinimus ir Server Actions apsaugą. Šiuolaikinis požiūris pirmenybę teikia **serverio pusės sesijos patvirtinimui** priešingai tik kliento pusės patikrinimams. ## Kodėl tai svarbu Sesijos strategija ```text Cookie-based sessions (httpOnly cookie): ✓ Store a signed session id or encrypted JWT in an httpOnly, secure cookie ✓ httpOnly = not readable by JavaScript → protects against XSS token theft ✓ Use a library: Auth.js (NextAuth), Clerk, Lucia, or a custom solution ``` ## 1. Grubus jungimas middleware (greitai, bet ne visa istorija) ```ts // middleware.ts — quick check: does a session cookie exist? export function middleware(req: NextRequest) { const session = req.cookies.get("session")?.value; if (req.nextUrl.pathname.startsWith("/dashboard") && !session) { return NextResponse.redirect(new URL("/login", req.url)); } return NextResponse.next(); } ``` Middleware veikia Edge prieš kiekvieną atitinkantį užklausą — idealus pigiems peradresavimams. Tačiau jis turėtų tik atlikti *lengvą* buvimo patikrinimą; nesitikėkite jo kaip vienintelio autorizavimo (slapukas gali būti neteisingas). ## 2. Patvirtinti sesija ten, kur naudojate duomenis (tikrasis vartai) ```tsx // app/dashboard/page.tsx — verify on the server, in the page itself import { redirect } from "next/navigation"; export default async function Dashboard() { const user = await getCurrentUser(); // validates the session cookie server-side if (!user) redirect("/login"); // authoritative check return

Welcome {user.name}

; } ``` Šis serverio pusės patvirtinimas (Server Component) yra **autoritetingas** patikrinimas — jis iš tikrųjų patvirtina sesija ir įkelia vartotoją. ## 3. Apsaugoti Server Actions ir Route Handlers taip pat ```tsx "use server"; export async function deletePost(id: string) { const user = await getCurrentUser(); if (!user) throw new Error("Unauthorized"); // never trust the caller if (post.authorId !== user.id) throw new Error("Forbidden"); // authorization await db.post.delete({ where: { id } }); } ``` Server Actions yra viešas galas — **visada patikrinkite autentifikaciją ir autorizavimą jų viduje**, nepaisant UI lygio jungimo. ## Kodėl daugiaslojiniai patikrinimaiį ```text Middleware → fast redirect for the common case (better UX, not security-critical) Server Component/Action → real verification (security boundary) Never rely on hiding UI in the client as a security measure ``` ## Kodėl tai svarbu Autentifikacija App Router yra giluminis žindimas: httpOnly slapukai (XSS saugios sesijos), middleware greitiems peradresavimams ir — labai svarbu — **serverio pusės patvirtinimas kiekviename duomenų prieigos ir mutacijos taške**. Bendra ir pavojinga klaida yra middleware patikrinimo arba paslėpto kliento UI laikymas pakankamu; tikra apsauga gaunama iš sesijos ir autorizavimo patikrinimo serveryje, kai skaitomi jautrūs duomenys arba jie keičiami.