Next.js App Router பயன்பாட்டில் நீங்கள் எவ்வாறு அங்கீகாரத்தைக் கையாள்வீர்கள்?

Question

Accepted Answer

App Router-இல் அங்கீகாரம் பல அடுக்குகளை உள்ளடக்கியது — அமர்வுகள், middleware, சேவையக பக்க சரிபார்ப்புகள் மற்றும் Server Actions பாதுகாப்பு. நவீன அணுகுமுறை **சேவையக பக்க அமர்வு சரிபார்ப்பை** மேற்கொள்ளும் மாত்திரை சரிபார்ப்புகளுக்கு முன்னுரிமை வழங்குகிறது. ## அமர்வு உத்தி ```text Cookie-based sessions (httpOnly cookie): ✓ Store a signed session id or encrypted JWT in an httpOnly, secure cookie ✓ httpOnly = not readable by JavaScript → protects against XSS token theft ✓ Use a library: Auth.js (NextAuth), Clerk, Lucia, or a custom solution ``` ## 1. Middleware-இல் முரடான நுழைவாயல் (வேகமாக, ஆனால் முழு கதையல்ல) ```ts // middleware.ts — quick check: does a session cookie exist? export function middleware(req: NextRequest) { const session = req.cookies.get("session")?.value; if (req.nextUrl.pathname.startsWith("/dashboard") && !session) { return NextResponse.redirect(new URL("/login", req.url)); } return NextResponse.next(); } ``` Middleware ஒவ்வொரு பொருந்திய கோரிக்கைக்கு முன்பு Edge-இல் இயங்குகிறது — மலிவு வழியமாற்றத்திற்கு சிறந்தது. ஆனால் இது *இலகு* இருப்பு சரிபார்ப்பை மட்டுமே செய்ய வேண்டும்; இதை ஒரே அங்கீகாரமாக நம்பாதீர்கள் (குக்கி தவறாக இருக்கலாம்). ## 2. நீங்கள் தரவைப் பயன்படுத்துவதுபோல் அமர்வைச் சரிபார்க்கவும் (உண்மையான வாயில்) ```tsx // app/dashboard/page.tsx — verify on the server, in the page itself import { redirect } from "next/navigation"; export default async function Dashboard() { const user = await getCurrentUser(); // validates the session cookie server-side if (!user) redirect("/login"); // authoritative check return

Welcome {user.name}

; } ``` இந்த சேவையக பக்க அமர்வு சரிபார்ப்பு (Server Component-இல்) **ஆணைதரும்** சரிபார்ப்பு — இது உண்மையில் அமர்வை சரிபார்த்து பயனரைக் கொண்டு வருகிறது। ## 3. Server Actions மற்றும் Route Handlers-ஐயும் பாதுகாக்கவும் ```tsx "use server"; export async function deletePost(id: string) { const user = await getCurrentUser(); if (!user) throw new Error("Unauthorized"); // never trust the caller if (post.authorId !== user.id) throw new Error("Forbidden"); // authorization await db.post.delete({ where: { id } }); } ``` Server Actions பொது முடிவுகளாகும் — **அவற்றுள் அங்கீகாரம் மற்றும் அனுமதியை மீண்டும் சரிபார்க்கவும்**, UI-மட்ட நுழைவாயல் பாதுகாப்பைப் பொருட்படுத்தாமல். ## அடுக்கோ சரிபார்ப்புகளின் பொருட்டு ```text Middleware → fast redirect for the common case (better UX, not security-critical) Server Component/Action → real verification (security boundary) Never rely on hiding UI in the client as a security measure ``` ## இது ஏன் முக்கியம் App Router-இல் அங்கீகாரம் ஆழமான பாதுகாப்பு: httpOnly cookies (XSS-பாதுகாப்பான அமர்வுகள்), வேகமான வழியமாற்றத்திற்கான middleware, மற்றும் — நிர்ணায়கமாக — **ஒவ்வொரு தரவு-அணுகல் மற்றும் மாற்றம் புள்ளியে சேவையக பக்க சரிபார்ப்பு**। பொதுவான, ஆபத்தான தவறு என்பது middleware சரிபார்ப்பு அல்லது மறைக்கப்பட்ட கிளையண்ட் UI-ஐ போதுமானதாக நடத்துவது; உண்மையான பாதுகாப்பு அமர்வை சரிபார்த்து, ஆணையாக்கத்தை சேவையகத்தில் அனுமதிக்க வருகிறது, அங்கு உணர்திறன் தரவு படிக்கப்படுகிறது அல்லது மாற்றப்படுகிறது.