Loading...
Loading...
Server Actions باید مانند APIهای عمومی محافظت شوند. پیش از انجام هرگونه عملیات حساس، باید بررسی شود که کاربر مجاز به انجام آن است یا خیر.
مثال زیر نقش کاربر را بررسی میکند:
// app/lib/actions.ts
'use server'
import { verifySession } from '@/app/lib/dal'
export async function serverAction(formData: FormData) {
const session = await verifySession()
const userRole = session?.user?.role
if (userRole !== 'admin') {
return null
}
// ادامه عملیات برای کاربران مجاز
}Route Handlers نیز باید بررسی احراز هویت و مجوز دسترسی را انجام دهند. در مثال زیر، ابتدا بررسی میشود که کاربر وارد شده باشد، سپس نقش او بررسی میشود:
// app/api/route.ts
import { verifySession } from '@/app/lib/dal'
export async function GET() {
const session = await verifySession()
if (!session) {
return new Response(null, { status: 401 })
}
if (session.user.role !== 'admin') {
return new Response(null, { status: 403 })
}
// ادامه برای کاربران مجاز
}استفاده از Context برای مدیریت نشست در کلاینت امکانپذیر است، اما در Server Components پشتیبانی نمیشود. بنابراین، دادههای نشست در ابتدا در سرور رندر میشوند و به Context دسترسی ندارند.
// app/layout.tsx
import { ContextProvider } from 'auth-lib'
export default function RootLayout({ children }) {
return (
<html lang="en">
<body>
<ContextProvider>{children}</ContextProvider>
</body>
</html>
)
}در کلاینت:
'use client'
import { useSession } from 'auth-lib'
export default function Profile() {
const { userId } = useSession()
const { data } = useSWR(`/api/user/${userId}`, fetcher)
return (
// ...
)
}برای جلوگیری از افشای دادههای حساس در کلاینت، از APIهایی مانند taintUniqueValue استفاده کنید.
در Next.js، Server Actions و Route Handlers باید با دقت بررسی شوند تا فقط کاربران مجاز بتوانند به دادهها و عملیات حساس دسترسی داشته باشند. با استفاده از verifySession()، کنترل نقش، و استفاده صحیح از Context در کلاینت، میتوان امنیت اپلیکیشن را تضمین کرد.