Next.js App Router యాప్‌లో ఆపరేషన్ ప్రామాణీకరణను ఎలా నిర్వహించాలి?

Question

Accepted Answer

App Router లో ప్రామాణీకరణ అనేక పొరలను విస్తృతం చేస్తుంది — సెషన్‌లు, middleware, సర్వర్‌-సైడ్ చెక్‌లు మరియు Server Actions సంరక్షణ. ఆధునిక విధానం **సర్వర్‌-సైడ్ సెషన్ ధృవీకరణ**కు ప్రాధాన్యం ఇస్తుంది క్లయింట్‌-మాత్రమే చెక్‌ల కంటే. ## సెషన్ వ్యూహం ```text Cookie-based sessions (httpOnly cookie): ✓ Store a signed session id or encrypted JWT in an httpOnly, secure cookie ✓ httpOnly = not readable by JavaScript → protects against XSS token theft ✓ Use a library: Auth.js (NextAuth), Clerk, Lucia, or a custom solution ``` ## 1. Middleware లో కఠినమైన గేటింగ్ (వేగవంతమైన, కానీ సంపూర్ణ కథ కాదు) ```ts // middleware.ts — quick check: does a session cookie exist? export function middleware(req: NextRequest) { const session = req.cookies.get("session")?.value; if (req.nextUrl.pathname.startsWith("/dashboard") && !session) { return NextResponse.redirect(new URL("/login", req.url)); } return NextResponse.next(); } ``` Middleware ప్రతి సరిపోలిన అభ్యర్థనకు ముందు Edge పై నడుస్తుంది — సెవ్ సవరణల కోసం ఆదర్శవంతమైనది. కానీ ఇది *తేలికైన* ఉనికి చెక్‌ను మాత్రమే చేయాలి; దీనిపై ఏకైక ప్రామాణికీకరణగా ఆధారపడవద్దు (కుక్కీ చెల్లనిది కావచ్చు). ## 2. మీరు డేటాను ఉపయోగించే చోట సెషన్‌ను ధృవీకరించండి (నిజమైన గేట్) ```tsx // app/dashboard/page.tsx — verify on the server, in the page itself import { redirect } from "next/navigation"; export default async function Dashboard() { const user = await getCurrentUser(); // validates the session cookie server-side if (!user) redirect("/login"); // authoritative check return

Welcome {user.name}

; } ``` ఈ సర్వర్‌-సైడ్ సెషన్ ధృవీకరణ (Server Component లో) **ఆధికారిక** చెక్‌ — ఇది వాస్తవానికి సెషన్‌ను ధృవీకరిస్తుంది మరియు వినియోగదారుని లోడ్ చేస్తుంది. ## 3. Server Actions మరియు Route Handlers కూడా సంరక్షించండి ```tsx "use server"; export async function deletePost(id: string) { const user = await getCurrentUser(); if (!user) throw new Error("Unauthorized"); // never trust the caller if (post.authorId !== user.id) throw new Error("Forbidden"); // authorization await db.post.delete({ where: { id } }); } ``` Server Actions పబ్లిక్ ఎండ్‌పాయింట్‌లు — **ఎల్లప్పుడు వాటిలో ప్రామాణీకరణ మరియు ప్రామాణికీకరణను తిరిగి చెక్ చేయండి**, UI-స్థర గేటింగ్‌ను పట్టించుకోకుండా. ## మిశ్రమ చెక్‌ల కారణం ```text Middleware → fast redirect for the common case (better UX, not security-critical) Server Component/Action → real verification (security boundary) Never rely on hiding UI in the client as a security measure ``` ## ఇది ఎందుకు ముఖ్యమైనది App Router లో ప్రామాణీకరణ డిపిన్‌-ఇన్‌-డెప్త్ డిఫెన్స్: httpOnly కుక్కీలు (XSS-సేఫ్ సెషన్‌లు), వేగవంతమైన రీడిరెక్ట్‌ల కోసం middleware, మరియు — కీలకంగా — **ప్రతిটి డేటా-యాక్సెస్ మరియు మ్యూటేషన్ పాయింట్ వద్ద సర్వర్‌-సైడ్ ధృవీకరణ**. సాధారణ, ప్రమాద ఉచ్చారణ middleware చెక్‌ని లేదా లুక్కున ఉన్న క్లయింట్ UI ని సరిపోతుందిగా చేతనించటం; నిజమైన సంరక్షణ సెషన్‌ను ధృవీకరించటం మరియు ఖచ్చితమైన ఉచ్చారణ సర్వర్‌లో వస్తుంది, సున్నితమైన డేటా చదువుకోబడిన ప్రతిచోటకు లేదా మార్చబడుతుంది.