If you take one thing away from this tutorial, it should be that authorization should be as close as possible to your sensitive data. This means that you should have authorization checks in your API, Service, and Data Access Layers. This is the most important part of your application and should be implemented in a way that is secure and maintainable.

AI 摘要：本文深入探讨了在 Next.js 应用中实现授权的多层次策略，重点围绕 React Server Components 和 Server Actions 展开。作者强调授权应尽可能靠近数据源（如 API 层、服务层和数据访问层），并详细分析了路由、UI 和中间件中的授权实现方案及其权衡，同时指出中间件授权的性能隐患和局限性。

1. 数据访问授权
• 核心原则：授权应在 API 层作为读写操作的第一道防线，通过自定义查询函数和服务端动作（Server Actions）实现。
• 代码示例：
• getPosts 和 createPost 函数中通过 getAuth 校验用户会话，未授权时抛出错误或重定向。
• 使用 cache 优化会话验证性能，避免重复数据库查询。
• 分层架构：
• 服务层：处理业务逻辑和精细权限（如角色/所有者校验）。
• 数据访问层：作为最后防线，但建议权限逻辑集中在服务层。

2. 路由授权
• 页面组件检查：在 Server Component 的入口（如 PostsPage ）调用 getAuthOrRedirect 实现基础防护
• 布局组件优化：
• 通过 AuthLayout 集中管理路由组（如 (authenticated)）的授权，提升开发效率但存在安全风险（恶意用户可能绕过布局直接访问页面）
• 权衡策略：建议结合后端授权（策略1）或在页面组件重复校验（策略2）
• 多角色扩展：如 AdminLayout 实现管理员路由隔离

3. UI 授权
• 根据 useAuth 动态隐藏/禁用 UI 元素（如删除按钮），但强调这仅是辅助手段，核心安全仍需依赖后端校验

4. 中间件授权
• 性能问题：避免中间件中直接查询数据库，仅做轻量级检查（如会话 Cookie 存在性）
• 边缘运行时限制：不支持部分 Node.js 功能（如 Prisma ORM 需适配）
• 建议将关键授权逻辑保留在 API/服务层

www.robinwieruch.de

Authorization in Next.js

Learn about authorization in Next.js when using React Server Components, Server Actions, and Next's App Router ...