如何在 Next.js 中实现身份验证

理解身份验证机制对于保护应用数据至关重要。本页将指导你使用 React 和 Next.js 的哪些功能来实现认证流程。

在开始之前，我们可以将整个流程分解为三个核心概念：

身份验证 (Authentication)：验证用户是否与其声称的身份一致。要求用户通过用户名密码等方式证明身份。
会话管理 (Session Management)：跨请求跟踪用户的认证状态。
授权 (Authorization)：决定用户可以访问哪些路由和数据。

下图展示了使用 React 和 Next.js 功能的认证流程：

本文示例出于教学目的演示了基础的用户名密码认证。虽然你可以实现自定义认证方案，但为了更高的安全性和简便性，我们推荐使用认证库。这些库提供了开箱即用的认证、会话管理和授权解决方案，以及社交登录、多因素认证和基于角色的访问控制等附加功能。你可以在认证库部分找到相关列表。

身份验证

以下是实现注册和/或登录表单的步骤：

用户通过表单提交他们的凭证。
表单发送一个由 API 路由处理的请求。
验证成功后，流程完成，表示用户已成功认证。
如果验证失败，则显示错误消息。

考虑一个用户可以输入其凭证的登录表单：

import { FormEvent } from 'react'
import { useRouter } from 'next/router'

export default function LoginPage() {
  const router = useRouter()

  async function handleSubmit(event: FormEvent<HTMLFormElement>) {
    event.preventDefault()

    const formData = new FormData(event.currentTarget)
    const email = formData.get('email')
    const password = formData.get('password')

    const response = await fetch('/api/auth/login', {
      method: 'POST',
      headers: { 'Content-Type': 'application/json' },
      body: JSON.stringify({ email, password }),
    })

    if (response.ok) {
      router.push('/profile')
    } else {
      // 处理错误
    }
  }

  return (
    <form onSubmit={handleSubmit}>
      <input type="email" name="email" placeholder="Email" required />
      <input type="password" name="password" placeholder="Password" required />
      <button type="submit">登录</button>
    </form>
  )
}

上面的表单有两个输入字段，用于捕获用户的电子邮件和密码。提交时，它会触发一个函数，向 API 路由 (/api/auth/login) 发送 POST 请求。

然后，您可以在 API 路由中调用认证提供商的 API 来处理认证：

import type { NextApiRequest, NextApiResponse } from 'next'
import { signIn } from '@/auth'

export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  try {
    const { email, password } = req.body
    await signIn('credentials', { email, password })

    res.status(200).json({ success: true })
  } catch (error) {
    if (error.type === 'CredentialsSignin') {
      res.status(401).json({ error: '无效凭证。' })
    } else {
      res.status(500).json({ error: '发生错误。' })
    }
  }
}

会话管理

会话管理确保用户的认证状态在多个请求之间得以保持。它涉及创建、存储、刷新和删除会话或令牌。

有两种类型的会话：

无状态会话：会话数据（或令牌）存储在浏览器的 cookie 中。每次请求都会发送 cookie，允许在服务器上验证会话。这种方法更简单，但如果实现不当可能不太安全。
数据库会话：会话数据存储在数据库中，用户的浏览器仅接收加密的会话 ID。这种方法更安全，但可能更复杂且占用更多服务器资源。

须知： 虽然您可以使用其中一种方法或两者兼用，但我们建议使用会话管理库，如 iron-session 或 Jose。

无状态会话

你可以使用 API 路由 (API Routes) 在服务端将会话设置为 cookie：

import { serialize } from 'cookie'
import type { NextApiRequest, NextApiResponse } from 'next'
import { encrypt } from '@/app/lib/session'

export default function handler(req: NextApiRequest, res: NextApiResponse) {
  const sessionData = req.body
  const encryptedSessionData = encrypt(sessionData)

  const cookie = serialize('session', encryptedSessionData, {
    httpOnly: true,
    secure: process.env.NODE_ENV === 'production',
    maxAge: 60 * 60 * 24 * 7, // 一周
    path: '/',
  })
  res.setHeader('Set-Cookie', cookie)
  res.status(200).json({ message: 'Successfully set cookie!' })
}

数据库会话

要创建和管理数据库会话，需要遵循以下步骤：

在数据库中创建表来存储会话数据（或检查你的认证库是否已处理此功能）
实现插入、更新和删除会话的功能
将会话 ID 加密后再存储到用户浏览器中，并确保数据库和 cookie 保持同步（这是可选的，但推荐用于中间件中的乐观认证检查）

在服务端创建会话：

import db from '../../lib/db'
import type { NextApiRequest, NextApiResponse } from 'next'

export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  try {
    const user = req.body
    const sessionId = generateSessionId()
    await db.insertSession({
      sessionId,
      userId: user.id,
      createdAt: new Date(),
    })

    res.status(200).json({ sessionId })
  } catch (error) {
    res.status(500).json({ error: 'Internal Server Error' })
  }
}

授权

用户认证并创建会话后，可以实现授权来控制用户在应用中可以访问和执行的操作。

主要有两种授权检查：

乐观检查：使用存储在 cookie 中的会话数据检查用户是否有权访问路由或执行操作。这些检查适用于快速操作，如根据权限或角色显示/隐藏 UI 元素或重定向用户。
安全检查：使用存储在数据库中的会话数据检查用户是否有权访问路由或执行操作。这些检查更安全，用于需要访问敏感数据或操作的情况。

对于这两种情况，我们建议：

创建数据访问层 (DAL) 来集中授权逻辑
使用数据传输对象 (DTO) 仅返回必要的数据
可选使用中间件执行乐观检查。

使用中间件进行乐观检查（可选）

在某些情况下，你可能希望使用中间件 (Middleware) 并根据权限重定向用户：

执行乐观检查。由于中间件在每个路由上运行，这是集中重定向逻辑和预过滤未授权用户的好方法。
保护用户间共享数据的静态路由（如付费内容）。

然而，由于中间件在每个路由上运行，包括预取 (prefetched) 路由，重要的是仅从 cookie 中读取会话（乐观检查），避免数据库检查以防止性能问题。

例如：

import { NextRequest, NextResponse } from 'next/server'
import { decrypt } from '@/app/lib/session'
import { cookies } from 'next/headers'

// 1. 指定受保护和公开路由
const protectedRoutes = ['/dashboard']
const publicRoutes = ['/login', '/signup', '/']

export default async function middleware(req: NextRequest) {
  // 2. 检查当前路由是受保护还是公开
  const path = req.nextUrl.pathname
  const isProtectedRoute = protectedRoutes.includes(path)
  const isPublicRoute = publicRoutes.includes(path)

  // 3. 从 cookie 中解密会话
  const cookie = (await cookies()).get('session')?.value
  const session = await decrypt(cookie)

  // 4. 如果用户未认证，重定向到 /login
  if (isProtectedRoute && !session?.userId) {
    return NextResponse.redirect(new URL('/login', req.nextUrl))
  }

  // 5. 如果用户已认证，重定向到 /dashboard
  if (
    isPublicRoute &&
    session?.userId &&
    !req.nextUrl.pathname.startsWith('/dashboard')
  ) {
    return NextResponse.redirect(new URL('/dashboard', req.nextUrl))
  }

  return NextResponse.next()
}

// 中间件不应运行的路由
export const config = {
  matcher: ['/((?!api|_next/static|_next/image|.*\\.png$).*)'],
}

虽然中间件可用于初始检查，但它不应该是保护数据的唯一防线。大多数安全检查应尽可能靠近数据源执行，详见数据访问层 (DAL)。

提示：

在中间件中，你也可以使用 req.cookies.get('session').value 读取 cookie。

中间件使用边缘运行时 (Edge Runtime)，请检查你的认证库和会话管理库是否兼容。

你可以使用中间件中的 matcher 属性指定中间件应运行的路由。但对于认证，建议中间件在所有路由上运行。

创建数据访问层 (DAL)

保护 API 路由

Next.js 中的 API 路由对处理服务端逻辑和数据管理至关重要。需确保这些路由的安全，仅允许授权用户访问特定功能，通常包括验证用户认证状态和基于角色的权限。

以下为保护 API 路由的示例：

import { NextApiRequest, NextApiResponse } from 'next'

export default async function handler(
  req: NextApiRequest,
  res: NextApiResponse
) {
  const session = await getSession(req)

  // 检查用户是否认证
  if (!session) {
    res.status(401).json({
      error: '用户未认证',
    })
    return
  }

  // 检查用户是否为 'admin' 角色
  if (session.user.role !== 'admin') {
    res.status(401).json({
      error: '未经授权的访问：用户无管理员权限。',
    })
    return
  }

  // 为授权用户继续执行路由
  // ... API 路由的实现
}

此例展示了两层安全检查的 API 路由：先检查活跃会话，再验证登录用户是否为 'admin'，确保仅限认证和授权用户安全访问，保障请求处理的稳健安全。

资源

了解 Next.js 认证后，以下兼容库和资源可帮助实现安全的认证和会话管理：

认证库

会话管理库

延伸阅读

继续学习认证与安全，可查阅以下资源：

如何在 Next.js 中实现身份验证

On this page