NextAuth.js 实现多域名认证的最佳实践 - 无需自定义 Cookie

最新推荐文章于 2025-12-25 09:07:35 发布
原创 最新推荐文章于 2025-12-25 09:07:35 发布 · 690 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #开发语言 #googlecloud

背景介绍

在微服务架构中,我们经常需要处理多个子域名之间的用户认证问题。比如:

  • main.example.com (主站)
  • api.example.com (API服务)
  • admin.example.com (管理后台)

很多开发者会选择自定义 Cookie 来实现跨域认证,但这种方式:

  • 需要额外的 Cookie 配置
  • 增加了维护成本
  • 可能存在安全隐患

本文将介绍一个更优雅的解决方案。

核心思路

  • 主站点使用 NextAuth.js 进行常规认证

    其他域名服务器接收到主站 JWT 后,验证并生成新的 JWT

  • 在 session 中携带新生成的 JWT

具体实现

1. 主站配置 (main.example.com)

 ..nextauth.ts

import NextAuth from 'next-auth'

export default NextAuth({
  providers: [
    // 你的认证提供者配置
  ],
  callbacks: {
    async session({ session, token }) {
      // 在session中添加用户信息
      session.user.id = token.sub
      return session
    }
  }
})

2. API服务配置 (api.example.com)

session.ts1/1

import { getToken } from 'next-auth/jwt'
import jwt from 'jsonwebtoken'

export default async function handler(req, res) {
  // 验证来自主站的token
  const token = await getToken({ req })
  
  if (!token) {
    return res.status(401).json({ error: 'Unauthorized' })
  }

  // 生成新的JWT
  const newToken = jwt.sign(
    { 
      userId: token.sub,
      scope: 'api-access' 
    },
    process.env.JWT_SECRET,
    { expiresIn: '1h' }
  )

  // 将新token添加到session
  const session = {
    ...token,
    apiToken: newToken
  }

  res.json(session)
}

3. 前端调用示例

api.ts1/1

async function fetchWithAuth(url: string) {
  // 获取主站session
  const session = await getSession()
  
  if (!session) {
    throw new Error('Not authenticated')
  }

  // 获取API服务的token
  const apiSession = await fetch('https://api.example.com/api/auth/session', {
    headers: {
      Authorization: `Bearer ${session.accessToken}`
    }
  }).then(res => res.json())

  // 使用API token访问服务
  return fetch(url, {
    headers: {
      Authorization: `Bearer ${apiSession.apiToken}`
    }
  })
}

方案优势

. 简单性

  • 无需复杂的 Cookie 配置
  • 遵循 JWT 标准流程
  • 易于理解和维护
  • 安全性
  • 每个服务使用独立的 JWT
  • 可以针对不同服务设置不同的权限范围
  • 避免了 Cookie 相关的安全风险
  • 灵活性
  • 支持服务独立扩展
  • 便于添加新的子域名服务
  • 可以针对不同服务设置不同的过期时间

注意事项

  • 确保各服务间的时钟同步
  • 合理设置 JWT 过期时间
  • 使用安全的密钥存储方式
  • 在生产环境使用 HTTPS

总结

这种方案通过在 session 中携带新生成的 JWT,优雅地解决了多域名认证问题,避免了自定义 Cookie 带来的复杂性。它不仅简化了开发流程,还提供了更好的安全性和可维护性。

freewind
关注
Next.js 中的认证实现安全访问
zimin的专栏
08-11 1206
Next.js 作为一个全栈 React 框架,不仅擅长构建高性能的前端界面,还提供了强大的后端支持,其中认证机制是构建安全应用的核心。认证(Authentication)确保用户身份的有效性,实现安全访问控制,如登录、注册和权限管理。Next.js 支持认证策略,包括基于 JWT 的无状态认证、会话(Session)认证,以及第三方认证提供商的集成。这些策略可以无缝融入 API 路由、服务器组件和客户端组件中,适用于从简单博客到复杂企业应用的各种场景。
【Next.js 入门教程系列】07-身份验证
Castamere的博客
10-11 2013
【Next.js 入门教程系列】07-身份验证。本篇包括以下内容: 设置 Next Auth、设置 the Google Provider、Authentication sessions、保护路由、数据库适配器
.NET core JWT身份认证实现
lwpoor123的博客
12-15 2420
首先我们知道jwt中一定会有的字段有Issuer,Audience,另外jwt有过期时间,所以要有代表生命周期的Lifetime,表示续期的RenewalTime,然后是头字段,是否验证失效时间,是否验证签名等,于是就有了如下结构. JwtConfig.cs在Hero.Jwt中定义一个叫做JwtConfig的类,表示针对jwt的所有配置信息,ciset;set;/// 签名keyset;/// 生命周期set;/// 续期时间set;/// 是否验证生命周期set;/// 验证头字段set;
NextAuth.js在Papermark中的应用:安全认证系统构建指南
gitblog_00146的博客
09-14 857
在现代Web应用开发中,身份认证(Authentication)是保护用户数据安全的第一道防线。对于Papermark这样的开源文档分享平台(被定位为DocSend的替代方案),其核心功能包括文档分享、访问分析和自定义域名,这些功能都依赖于可靠的用户认证系统。 传统认证方案面临诸挑战:密码管理风险、会话安全漏洞、第三方集成复杂性等。NextAuth.js作为一款灵活的认证解决方案,通过模块化设...
走近 Next.js:全栈框架的简介与应用
Web面试那些事儿的博客
05-31 7870
如果你现在正在找工作,可以私信“web”或者直接添加下方小助理进群领取前端面试小册、简历优化修改、大厂内推以及更阿里、字节大厂面试真题合集,和p8大佬一起交流。
Next.js Edge Functions:Papermark全球边缘部署实践
gitblog_00873的博客
09-15 820
在当今全球化协作环境中,企业级文档分享面临三大核心挑战:跨地域访问延迟(平均加载时间每增加1秒,用户流失率上升7%)、动态内容路由复杂性(多域名/租户场景下的请求分发)、以及实时数据处理的资源消耗(如文档访问统计与权限验证)。Papermark作为开源DocSend替代方案,通过Next.js Edge Functions实现了计算资源的全球分布式部署,将平均响应时间从800ms降至120ms,...
攻克Next.js认证难题:基于Auth0的企业级用户授权实战指南
gitblog_00819的博客
06-25 383
当用户投诉"登录后仍显示未授权"时,你是否还在排查JWT解析错误?当安全审计指出"会话Cookie缺少Secure标记"时,你是否又要重构整个存储逻辑?Next.js应用的认证系统往往成为开发团队的噩梦——既要处理服务端渲染(SSR)与客户端交互的状态同步,又要兼顾安全性与用户体验,还要应对复杂的企业级授权场景。 **读完本文你将掌握**: - 3种零缺陷的认证架构方案(含App Router/...
Auth.js安全机制揭秘:如何保护你的Web应用免受攻击
gitblog_00678的博客
10-07 597
在当今数字化时代,Web应用的安全防护至关重要。用户数据泄露、身份被盗等安全事件屡见不鲜,而身份验证系统作为Web应用的第一道防线,其安全性直接关系到整个应用的安全。Auth.js作为一款广泛使用的Web身份验证库,凭借其强大而完善的安全机制,为Web应用提供了坚实的安全保障。本文将深入剖析Auth.js的安全机制,带你了解它是如何保护你的Web应用免受各种攻击的。 ## 安全的会话管理策略 ...
2025年最完整的ChadNext开发指南:从0到1构建企业级Next.js应用
gitblog_00033的博客
11-12 374
你是否还在为Next.js项目搭建基础架构而浪费数周时间?是否厌倦了从零配置认证系统、UI组件库和数据库连接?ChadNext——这个被誉为"开发功能工具"的Next.js启动模板,将彻底改变你的开发流程。 本文将带你深入探索这个集成了Next.js 14 App Router、Shadcn UI、NextAuth、Prisma和Server Actions的全栈解决方案,通过实际案例展示如
LobeChat是否支持OAuth登录?企业级权限管理实现方式
weixin_35750483的博客
12-14 710
本文探讨LobeChat如何通过Next.js架构实现企业级OAuth登录与权限管理,强调其可编程性支持灵活集成主流身份提供商,并结合RBAC、会话控制和安全审计,构建符合企业安全规范的认证体系,体现安全即架构的设计理念。
BootStrap-table.js 官网下载
11-16
7. **扩展功能**:如行内编辑、固定列、自定义列头、导出数据(CSV、Excel、PDF等)以及列冻结等,可以通过添加扩展插件实现。 8. **响应式设计**:遵循Bootstrap的设计原则,使得表格在不同设备和屏幕尺寸下都能...
Asp.net Core中实现自定义身份认证的示例代码
10-15
自定义认证方案通常需要实现IAuthenticationHandler接口。 2. 实现IAuthenticationHandler接口: IAuthenticationHandler接口是自定义认证方案的核心,它包含几个关键方法:InitializeAsync、AuthenticateAsync、...
pdf.js(pdfdist)踩坑workerSrc报错pdf.worker.mjs无法正确获取
weixin_39729729的博客
12-22 319
最近用pdf.js踩坑了几个点,其实本质都是workerSrc配置的问题,pdf.js引用了.mjs文件但又没做好处理,导致需要我们额外单独配置这一块。第一次遇到的时候我习惯性交给AI,AI按照搜索结果修改了workerSrc配置,解决了引用的为题,但是最终部署服务器还是不能用。后面还是人工花了些功夫把这个点搞明白,然后手动改了nginx配置才修复。AI还得加油啊!你以后可是我们的赛博牛马。
前端性能优化之Webpack篇
程序员小寒的博客
12-22 861
虽然现在vite比较火,但很公司中还是存在一些将webpack作为构建工具的前端老项目。最近在优化公司的一个webpack项目,所以整理了webpack常见的优化手段,一起来看看吧!
八股文-JavaScript(第一天)
qq_55961367的博客
12-22 1343
本文总结了前端开发中的个核心知识点:1. 事件机制方面,列出了不会冒泡的事件类型,并比较了mouseEnter与mouseOver的区别;2. JavaScript特性包括MessageChannel通信、async/await原理、Proxy监听、解构赋值、变量提升和作用域链;3. React相关知识点涉及useState批量更新、Portals使用和React与React-DOM的关系;4. Vue部分包含响应式原理、生命周期钩子差异和请求发起时机;5. 模块系统对比了CommonJS与ES6的差异;
Vue import.meta.env 讲解
最新发布
Violet_YSWY的博客
12-25 281
VITE_
【Typescript】未知类型如何处理?
纠缠AI的亮子
12-22 310
The error happens because Prisma’s type is a union of all valid JSON types: .TypeScript is complaining because a string or a number does not have a property named . Even though you know is likely an object, TypeScript must account for the possibility tha
计算机毕业设计|基于springboot + vue健康茶饮销售管理系统(源码+数据库+文档)
12-24 765
本文介绍了基于SpringBoot+Vue的健康茶饮销售管理系统开发。系统采用前后端分离架构,后端使用SpringBoot框架简化配置,前端采用Vue实现组件化开发,数据库选用MySQL。文章详细说明了系统设计原则、技术选型理由,并提供了代码示例和测试案例。系统功能完整,包含商品管理、用户认证等模块,通过严格测试确保安全性。文末附有源码获取方式和最新毕设选题推荐,适合作为计算机专业学生的项目参考。
vue + iview + vue-i18n中英翻译
pingguocu3的博客
12-22 210
)星期一:'mon',星期二:'tue',星期三:'wed',星期四:'thu',星期五:'fri',星期六:'sat',星期日:'sun',©著作权归作者所有,转载或内容合作请联系作者平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值