De la creación a la protección: Middleware Next.js y potencia del lado del servidor para páginas con funciones específicas

src/middleware.ts

import { withMiddlewareAuthRequired, getSession } from '@auth0/nextjs-auth0/edge'; import { NextResponse } from 'next/server'; import type { NextRequest } from 'next/server'; import { decodeToken } from './api/helpers/authorization.helper'; import { hasAdminRole } from './api/helpers/user-role.helper'; export default withMiddlewareAuthRequired(async (req: NextRequest) => { const res = NextResponse.next(); const session = await getSession(req, res); if (session && session.accessToken) { const permissions = decodeToken(session.accessToken).permissions; const isAdmin = hasAdminRole(permissions); if (isAdmin && req.nextUrl.pathname === '/') { return NextResponse.rewrite(new URL('/admin-dashboard', req.url)); } } return res; });

En el código anterior:

1. Recuperamos la sesión de usuario.
2. Decodificamos el token de acceso para obtener los permisos.
3. Comprobamos si el usuario tiene el rol de administrador y le redirigimos al panel de administración.

Asegurando tus páginas en el lado del servidor

Aunque el middleware es potente para gestionar las redirecciones basadas en roles, la verdadera esencia de la seguridad reside en proteger el contenido en su origen: el servidor.

Si, por ejemplo, un usuario que no es administrador intenta entrar en la URL del panel de control de los administradores, el servidor le mostrará la página de error 404. Esto es muy importante porque

Esto es muy importante porque:

1. Esto impedirá que el usuario acceda al panel de control de los administradores.
2. El usuario ni siquiera sabrá qué ruta es la correcta para este panel de control porque será redirigido automáticamente a la página de error 404, lo que también podría ocurrir si escribe una URL que no existe. ¡Seguridad total!

Para el Admin-Dashboard:

Para evitar que los usuarios que no son administradores accedan directamente al panel de control escribiendo la URL, utilice apoyos del lado del servidor para validar el rol:

Del lado del servidor

src/server/admin-dashboard/admin-dashboard.tsx

import { GetServerSidePropsContext } from 'next'; import { getAccessToken } from '@auth0/nextjs-auth0'; import { decodeToken } from '../../api/helpers/authorization.helper'; import { hasAdminRole } from '../../api/helpers/user-role.helper'; async function adminDashboardPage({ req, res }: GetServerSidePropsContext) { const accessToken = (await getAccessToken(req, res)).accessToken; if (accessToken) { const permissions = decodeToken(accessToken).permissions; const isAdmin = hasAdminRole(permissions); if (!isAdmin) { return { notFound: true, }; } } else { return { notFound: true, }; } return { props: { token: accessToken, isHomePage: true } }; } export default adminDashboardPage;

Llamada a accesorios del lado del servidor en la página

src/pages/admin-dashboard/index.tsx

import Head from 'next/head'; import { useTranslation } from 'react-i18next'; export { default as getServerSideProps } from '../../server/admin-dashboard/admin-dashboard'; const AdminDashboard = () => { const { t } = useTranslation('common'); return ( <> <Head> <title>{t('title')}</title> </Head> {/* Rest of the page */} </> ); }; export default AdminDashboard;

En este código, si el usuario no tiene un rol de administrador o no está autenticado, recibirá una respuesta 404 Not Found, ocultando así el panel de administración.