简易的 Nextjs 用户认证系统
Next.js 提供了接口路由功能,可以用来添加一些简单的接口,我们可以利用 Github Oauth + JWT 实现一个简易的 Next.js 用户认证系统。(如果的你的网站只是使用 next.js 生成静态网站,然后部署到 Static hosting,例如 Github Pages,则无法运行 Next.js 接口路由功能)
Github 登录
首先我们需要创建一个用于登录的 Github Oauth App,点击这里创建,其中 Authorization callback URL 请填写 http://localhost:3000/api/oauth/github/callback (上线后请创建一个新的应用填写线上的地址)
获取到 Client id 和 Client Secret 后写入到本地的环境变量配置文件 .env.local, 对应的 key 为 GITHUB_CLIENT_ID, GITHUB_SECRET
跳转用户到 Github 授权
Oauth 认证的第一步,需要跳转用户到对应的第三方网站进行应用授权,我们使用一个固定的链接,直接跳转到 Github 授权。
首先在环境变量文件中添加 NEXT_PUBLIC_SITE_URL 用于区别开发和线上的访问链接,本地的值为 http://localhost:3000, 然后创建文件 /pages/api/connect/github.ts
import type { NextApiRequest, NextApiResponse } from 'next'
export default function handler( req: NextApiRequest, res: NextApiResponse) { const redirectURL = `${process.env.NEXT_PUBLIC_SITE_URL}/api/oauth/github/callback` const url = `https://github.com/login/oauth/authorize?client_id=${process.env.GITHUB_CLIENT_ID}&redirect_uri=${encodeURIComponent(redirectURL)}&scope=user` res.redirect(url)}这样用户访问 /api/connect/github 就会跳转到 Github 授权页面
获取 Github 用户信息
Oauth 后面的步骤就是用户完成授权后,会跳转回我们在应用注册时填写的 Authorization callback URL,在页面 URL 中会加上 code 参数,使用 code 参数获取到 access_token, 然后利用 access_token 访问接口数据。
关于 Github Oauth 详细文档请参考 Authorizing OAuth Apps
创建 /pages/api/oauth/github/callback.ts
import type { NextApiRequest, NextApiResponse } from 'next'import axios from 'axios'import cookie from 'cookie'import { encode } from '../../../../lib/jwt'import { User } from '../../../../types/user'
type GithubProfile = { login: string email: string blog?: string avatar_url: string}
export default async function handler( req: NextApiRequest, res: NextApiResponse) { const { code } = req.query if (!code) { res.status(401).json({"message": "bad request"}) return } // 使用 code 获取 access_token const resp = await axios.post<{access_token: string}>(`https://github.com/login/oauth/access_token`, undefined, { params: { code, client_id: process.env.GITHUB_CLIENT_ID, client_secret: process.env.GITHUB_SECRET, }, headers: { 'Accept': 'application/json' } }) const token = resp.data.access_token if (!token) { res.status(500).json(resp.data) return } // 使用 access_token 获取用户数据 const userRes = await axios.get<GithubProfile>('https://api.github.com/user', { headers: { Authorization: `token ${token}` } }) const user: User = { name: userRes.data.login, email: userRes.data.email, avatar: userRes.data.avatar_url, url: userRes.data.blog } // 通过 JWT 加密用户数据 const userToken = encode(user) // 将加密后的数据写入 cookie const userCookie = cookie.serialize('user', userToken, { httpOnly: true, maxAge: 60 * 60 * 24 * 365, path: '/' }) res.status(200).setHeader('Set-Cookie', userCookie).write(setupHTML(user)) res.end()}
function setupHTML(user: User) { return ` <html> <head> <script> (function() { window.opener.postMessage(JSON.stringify({...${JSON.stringify(user)}, type: 'user'})) window.close() })() </script> </head> </html> `}我们使用新窗口完成 Github 认证,在获取到 Github 用户数据后,将数据加密后存储在 cookie 中,同时在请求响应中通过 postMessage 把用户数据传递到当前页面,完成后自动关闭认证页面,这样在不刷新页面的情况下完成用户认证。
JWT 加密
由于我们并不使用数据库存储用户数据,而是直接将用户数据存储在 cookie 中,所以我们需要做一层加密,最常见的方式就是使用 JWT(JSON Web Tokens)
首先在环境变量文件中添加 JWT_SECRET 加密密码,然后创建 /lib/jwt.ts
import jwt from 'jsonwebtoken'
const JWT_SECRET = process.env.JWT_SECRET
export function encode(data: string | object) { return jwt.sign(data, JWT_SECRET)}
export function decode<T>(token: string) { return jwt.verify(token, JWT_SECRET) as T}用户认证
用户验证
添加接口读取 cookie 中用户数据,创建 /pages/api/user.ts
import type { NextApiRequest, NextApiResponse } from 'next'import cookie from 'cookie'import { decode, encode } from '../../lib/jwt'
export default function handler( req: NextApiRequest, res: NextApiResponse) { const userToken = req.cookies.user if (!userToken) { res.status(401).json({"message": "unauthorized"}) return } try { const user = decode(userToken) res.status(200).json(user) } catch (e) { res.status(401).json({"message": "unauthorized"}) }}用户退出
添加接口清除用户 cookie 即可退出用户登录,创建 /pages/api/logout.ts
import type { NextApiRequest, NextApiResponse } from 'next'import cookie from 'cookie'
export default function handler( req: NextApiRequest, res: NextApiResponse) { const userCookie = cookie.serialize('user', '', { httpOnly: true, expires: new Date(), path: '/' }) res.status(200).setHeader('Set-Cookie', userCookie) res.json({"message": "ok"})}用户上下文(React Context)
完成后端接口后,我们创建上下文处理用户认证,创建文件 /context/auth/provider.tsx
import { createContext, PropsWithChildren, useCallback, useEffect, useState } from "react"import { User } from "../../types/user"
export type AuthContext = { user?: User login: () => Promise<User> logout: () => Promise<void>}
export const AuthProviderContext = createContext<AuthContext>({ login: () => Promise.reject(), logout: () => Promise.reject(),})
export function AuthContextProvider({ children }: PropsWithChildren<{}>) { const [user, setUser] = useState<User>()
const login = useCallback(() => { const loginWindow = window.open('/api/connect/github', 'loginWindow', 'height=500,width=500') return new Promise<User>((resolve, reject) => { if (!loginWindow) return reject() const messageHandler = (e: MessageEvent) => { try { const data = JSON.parse(e.data) if (data.type === 'user') { setUser(data) resolve(data) } } catch (e) { } } window.addEventListener('message', messageHandler) }) }, [])
const logout = useCallback(async () => { await fetch(`/api/signout`) setUser(undefined) }, [])
useEffect(() => { fetch(`/api/user`) .then(res => { if (res.status !== 200) { return Promise.reject(res.status) } return res.json() }) .then(user => setUser(user)) .catch(() => {}) }, [])
return ( <AuthProviderContext.Provider value={{ user, login, logout}}> { children } </AuthProviderContext.Provider> )
}更新 /pages/_app.tsx 文件
import '../styles/globals.css'import type { AppProps } from 'next/app'
function MyApp({ Component, pageProps }: AppProps) { return ( <AuthContextProvider> <Component {...pageProps} /> </AuthContextProvider> )}
export default MyApp这样我们在任意页面和组件使用上下文,获取当前登录用户,调用登录、退出方法。
在登录环节可以把 Github 换成其他任何第三方,或者使用 passport.js 做处理。