LogoENEnglish

امنیت در Server Actions و Route Handlers در Next.js – بررسی نقش کاربر و مدیریت نشست

امنیت در Server Actions و Route Handlers در Next.js – بررسی نقش کاربر و مدیریت نشست

Server ActionRoute HandlerRole checkContext Provider

~3 دقیقه مطالعه • بروزرسانی ۴ آبان ۱۴۰۴

Server Actions و امنیت


Server Actions باید مانند APIهای عمومی محافظت شوند. پیش از انجام هرگونه عملیات حساس، باید بررسی شود که کاربر مجاز به انجام آن است یا خیر.


مثال زیر نقش کاربر را بررسی می‌کند:

// app/lib/actions.ts
'use server'
import { verifySession } from '@/app/lib/dal'

export async function serverAction(formData: FormData) {
  const session = await verifySession()
  const userRole = session?.user?.role

  if (userRole !== 'admin') {
    return null
  }

  // ادامه عملیات برای کاربران مجاز
}

Route Handlers و کنترل دسترسی


Route Handlers نیز باید بررسی احراز هویت و مجوز دسترسی را انجام دهند. در مثال زیر، ابتدا بررسی می‌شود که کاربر وارد شده باشد، سپس نقش او بررسی می‌شود:

// app/api/route.ts
import { verifySession } from '@/app/lib/dal'

export async function GET() {
  const session = await verifySession()

  if (!session) {
    return new Response(null, { status: 401 })
  }

  if (session.user.role !== 'admin') {
    return new Response(null, { status: 403 })
  }

  // ادامه برای کاربران مجاز
}

Context Providers و محدودیت‌ها


استفاده از Context برای مدیریت نشست در کلاینت امکان‌پذیر است، اما در Server Components پشتیبانی نمی‌شود. بنابراین، داده‌های نشست در ابتدا در سرور رندر می‌شوند و به Context دسترسی ندارند.


// app/layout.tsx
import { ContextProvider } from 'auth-lib'

export default function RootLayout({ children }) {
  return (
    <html lang="en">
      <body>
        <ContextProvider>{children}</ContextProvider>
      </body>
    </html>
  )
}

در کلاینت:

'use client'
import { useSession } from 'auth-lib'

export default function Profile() {
  const { userId } = useSession()
  const { data } = useSWR(`/api/user/${userId}`, fetcher)

  return (
    // ...
  )
}

برای جلوگیری از افشای داده‌های حساس در کلاینت، از APIهایی مانند taintUniqueValue استفاده کنید.


منابع و کتابخانه‌های پیشنهادی


کتابخانه‌های احراز هویت:

  • Auth0
  • Clerk
  • NextAuth.js
  • Supabase
  • Stytch
  • Descope
  • WorkOS

کتابخانه‌های مدیریت نشست:

  • Iron Session
  • Jose

مطالعه بیشتر:

  • How to think about security in Next.js
  • Understanding XSS Attacks
  • Understanding CSRF Attacks
  • The Copenhagen Book

جمع‌بندی


در Next.js، Server Actions و Route Handlers باید با دقت بررسی شوند تا فقط کاربران مجاز بتوانند به داده‌ها و عملیات حساس دسترسی داشته باشند. با استفاده از verifySession()، کنترل نقش، و استفاده صحیح از Context در کلاینت، می‌توان امنیت اپلیکیشن را تضمین کرد.


نوشته و پژوهش شده توسط دکتر شاهین صیامی

Next Article