Next.js + Laravel Auth: Oturum Sınırlarını Yönetmek için Net Bir Yol

Paylaş

Next.js frontend ve Laravel backend kimlik doğrulama yapılandırmanız hassas hissettiriyorsa, muhtemelen öyledir. Çoğu ekip, kimlik doğrulamayla savaşmıyor. Onlar, oturum sınırları, çerez kapsamı, CSRF beklentileri ve tarayıcı, frontend uygulaması ve API sunucusu arasındaki uyuşmazlıklarla mücadele ediyor.

<p>Çözüm, başka bir rastgele middleware ayarı değil. Çözüm, temiz bir mimari seçmek ve yerel geliştirme ile üretim arasında tutarlı olmaktır.</p>

<p><strong>Next.js Laravel auth</strong> yığını için benim güçlü görüşüm basit: <strong>Laravel kimlik doğrulamayı ve oturum durumunu sahiplenmeli</strong>, tarayıcı çerezleri taşımalı ve <strong>Next.js</strong> uygulama UI katmanı olarak hareket etmelidir; ilkinden daha akıllı olduğunu iddia eden ikinci bir kimlik doğrulama sunucusu olarak değil.</p>

<h2>
    <a name="stop-mixing-session-auth-and-token-auth-without-a-reason" href="#stop-mixing-session-auth-and-token-auth-without-a-reason"></a>
    Sebepsiz yere oturum kimliği ve token kimliğini karıştırmayı bırakın
</h2>

<p>Birçok kırık yapılandırma, <strong>Laravel Sanctum</strong> oturum kimliği, özel JWT akışları ve frontend tarafında kimlik doğrulama soyutlamalarını bir yığına birleştirmekten kaynaklanıyor. Bu genellikle daha fazla esneklik değil, daha fazla yüzey alanı oluşturur.</p>

<p>Ürününüz, normal bir tarayıcı tabanlı SaaS uygulamasıysa, <strong>cookie tabanlı oturum kimliği</strong> kullanın ve sıkıcı tutun.</p>

<p>Bu şunları ifade eder:</p>

<ul>
    <li><strong>Laravel</strong> giriş, çıkış, oturum oluşturma, CSRF, yetkilendirme ve kullanıcı kimliğinden sorumludur.</li>
    <li><strong>Next.js</strong>, Laravel'e <code>credentials: 'include'</code> ile çağrı yapar.</li>
    <li>Tarayıcı çerezleri otomatik olarak saklar ve gönderir.</li>
    <li>Korumalı kullanıcı durumu Laravel'den alınır, frontend'de yeniden icat edilmez. <br /> Token auth'u yalnızca gerçekten ihtiyaç duyduğunuz durumlarda kullanın, şöyle ki:</li>
    <li>Mobil istemciler</li>
    <li>Üçüncü taraf API tüketicileri</li>
    <li>Makine-makine erişimi</li>
    <li>Halka açık API ürünleri<br /> Tarayıcı uygulamaları için, çerez oturumları genellikle doğru yanıtı sağlayan bir çözüm olur.</li>
</ul>

<h2>
    <a name="the-architecture-that-avoids-most-auth-bugs" href="#the-architecture-that-avoids-most-auth-bugs"></a>
    Çoğu kimlik doğrulama hatasını önleyen mimari
</h2>

<p>En temiz yapılandırma şöyle görünür:</p>

<h3>
    <a name="production-domains" href="#production-domains"></a>
    Üretim alanları
</h3>

<ul>
    <li><strong>Frontend:</strong> <code>app.qcode.in</code></li>
    <li><strong>Backend:</strong> <code>api.qcode.in</code></li>
    <li><strong>Oturum alanı:</strong> <code>.qcode.in</code></li>
</ul>

<p>Oturum kimliği oluşturmayı <code>localhost</code> karmaşası üzerine inşa etmeye çalışmayın. Bunun yerine tutarlı yerel alanlar kullanın:</p>

<ul>
    <li><strong>Frontend:</strong> <code>app.qcode.test</code></li>
    <li><strong>Backend:</strong> <code>api.qcode.test</code></li>
    <li><strong>Oturum alanı:</strong> <code>.qcode.test</code></li>
</ul>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code><span class="c1">// .env</span>

APP_URL=https://api.qcode.test
FRONTEND_URL=https://app.qcode.test
SESSION_DOMAIN=.qcode.test
SANCTUM_STATEFUL_DOMAINS=app.qcode.test,api.qcode.test,app.qcode.in,api.qcode.in
SESSION_SECURE_COOKIE=true
SESSION_SAME_SITE=lax

<p>Ve CORS'u yeterince sıkı tutun, hataları gizlemek için gevşek değil.<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight php"><code><span class="c1">// config/cors.php</span>

return [
‘paths’ => [‘api/‘, ‘login’, ‘logout’, ‘sanctum/csrf-cookie’],
‘allowed_methods’ => [‘‘],
‘allowed_origins’ => [
‘https://app.qcode.test‘,
‘https://app.qcode.in‘,
],
‘allowed_headers’ => [‘*’],
‘supports_credentials’ => true,
];

<p>Yetkili kredensiyal ile <code>*</code> kullanmak geçerli değildir. Açık olmalısınız.</p>

<h2>
    <a name="the-request-flow-that-actually-works" href="#the-request-flow-that-actually-works"></a>
    Gerçekten çalışan istek akışı
</h2>

<p><strong>Laravel Sanctum</strong> ile oturum kimliği kullanırken, tarayıcı akışı önemlidir.</p>

<h3>
    <a name="step-1-prime-csrf" href="#step-1-prime-csrf"></a>
    Adım 1: CSRF'yi öncelikle ayarlayın
</h3>

<p>Giriş yapmadan önce Laravel'den CSRF çerezini isteyin.<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight typescript"><code><span class="k">await</span> <span class="nf">fetch</span><span class="p">(</span><span class="dl">'</span><span class="s1">https://api.qcode.test/sanctum/csrf-cookie</span><span class="dl">'</span><span class="p">,</span> <span class="p">{</span>

method: <span class=”dl>’GET’,
credentials: <span class=”dl>’include’,
});

<h3>
    <a name="step-2-log-in-with-cookies-enabled" href="#step-2-log-in-with-cookies-enabled"></a>
    Adım 2: Çerezler etkinken giriş yapın
</h3>

<p>Ardından, içerikler dahil ve standart AJAX başlıklarıyla giriş yapın.<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight typescript"><code><span class="k">await</span> <span class="nf">fetch</span><span class="p">(</span><span class="dl>'</span><span class="s1">https://api.qcode.test/login</span><span class="dl>'</span><span class="p">,</span> <span class="p">{</span>

method: <span class=”dl>’POST’,
credentials: <span class=”dl>’include’,
headers: {
<span class=”dl>’Content-Type<span class=”dl>’: <span class=”dl>’application/json<span class=”dl>’,
<span class=”dl>’X-Requested-With<span class=”dl>’: <span class=”dl>’XMLHttpRequest<span class=”dl>’,
},
body: JSON.stringify({ email, password}),
});

<h3>
    <a name="step-3-fetch-the-authenticated-user" href="#step-3-fetch-the-authenticated-user"></a>
    Adım 3: Kimlik doğrulanan kullanıcıyı getirin
</h3>

<p>Giriş yaptıktan sonra, kullanıcıyı Laravel'den alın. İkinci bir doğrulama kaynağı icat etmeyin.<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight typescript"><code><span class="kd">const</span> <span class="nx">response</span> <span class="o">=</span> <span class="k">await</span> <span class="nf">fetch</span><span class="p">(</span><span class="dl>'</span><span class="s1">https://api.qcode.test/api/user</span><span class="dl>'</span><span class="p">,</span>

{
method: <span class=”dl>’GET’,
credentials: <span class=”dl>’include’,
headers: {
<span class=”dl>’Accept<span class=”dl>’: <span class=”dl>’application/json<span class=”dl>’,
<span class=”dl>’X-Requested-With<span class=”dl>’: <span class=”dl>’XMLHttpRequest<span class=”dl>’,
},
});

const user = await response.json();

<p><strong>Next.js App Router</strong> ile tekrar kullanılabilir bir istemci istiyorsanız, ince tutun.<br/></p>

<div class="highlight js-code-highlight">
    <pre class="highlight typescript"><code><span class="kd">const</span> <span class="nx">API_BASE</span> <span class="o">=</span> <span class="nx">process</span><span class="p">.</span><span class="nx">env</span><span class="p">.</span><span class="nx">NEXT_PUBLIC_API_BASE_URL</span><span class="o">!</span><span class="p">;</span>

export async function apiFetch(path: string, init: RequestInit = {}) {
return fetch(<span class=”s2></span><span class="p">${</span><span class="nx">API_BASE</span><span class="p">}${</span><span class="nx">path</span><span class="p">}</span><span class="s2>, {
…init,
credentials: <span class=”dl>’include’,
headers: {
<span class=”dl>’Accept<span class=”dl>’: <span class=”dl>’application/json<span class=”dl>’,
<span class=”dl>’X-Requested-With<span class=”dl>’: <span class=”dl>’XMLHttpRequest<span class=”dl>’,
…(init.headers ?? {}),
},
});
}

<p>Bu temel döngüdür. Sahte yerel kimlik doğrulama önbelleği yok. Tekrar eden token ayrıştırma yok. Kırılgan frontend tarafında oturum taklidi yok.</p>

<h2>
    <a name="where-most-teams-break-the-boundary" href="#where-most-teams-break-the-boundary"></a>
    Çoğu ekibin sınırı kırdığı yer
</h2>

<p>Bu yığın genellikle aynı yerlerde başarısız olur.</p>

<h3>
    <a name="1-wrong-cookie-domain" href="#1-wrong-cookie-domain"></a>
    1. Yanlış çerez alanı
</h3>

<p>Oturum çerezi <code>api.qcode.in</code> ile bağlıysa, <code>.qcode.in</code> yerine, <code>app.qcode.in</code> üzerindeki frontend uygulamanız beklendiği gibi davranmayacaktır.</p>

<h3>
    <a name="2-missing-raw-credentials-include-endraw-" href="#2-missing-raw-credentials-include-endraw-"></a>
    2. <code>credentials: 'include'</code> eksik
</h3>

<p>Fetch istemciniz kredensiyal eklemiyorsa, oturum kimliği yapmıyorsunuz. Anonim isteklerde bulunuyorsunuz ve sihir bekliyorsunuz.</p>

<h3>
    <a name="3-bad-cors-config" href="#3-bad-cors-config"></a>
    3. Kötü CORS yapılandırması
</h3>

<p>Laravel, frontend kökenini ve kredensiyalleri açıkça izin vermelidir.</p>

<h3>
    <a name="4-trying-to-read-httponly-cookies-in-client-code" href="#4-trying-to-read-httponly-cookies-in-client-code"></a>
    4. HttpOnly çerezlerini istemci kodunda okumaya çalışmak
</h3>

<p>Okumaya gerek yok. HttpOnly çerezlerinin amacı tam olarak budur. Tarayıcının bunları göndermesine izin verin.</p>

<h3>
    <a name="5-ssr-assumptions-that-do-not-match-browser-reality" href="#5-ssr-assumptions-that-do-not-match-browser-reality"></a>
    5. Sunucu-sunucu render varsayımları, tarayıcı gerçekliği ile uyuşmuyor
</h3>

<p>Bir sayfa sunucuda oluşturuluyorsa, <strong>Next.js</strong> sunucu çalışma zamanınızın, kullanıcının tarayıcı oturumu ile aynı çerez bağlamına otomatik olarak sahip olabileceği anlamına gelmez. Bu durumda kasıtlı bir stratejiye ihtiyacınız var.</p>

<p>İki mantıklı seçenek vardır:</p>

<ul>
    <li>Kimlik doğrulama duyarlı ekranları, kullanıcı yüklendikten sonra istemci tarafından render edin</li>
    <li>Çerezleri, yol yönlendiricileri veya sunucu bileşenleri aracılığıyla kasıtlı olarak iletin. <br /> Her iki modeli uygulama içinde rastgele karıştırmayın.</li>
</ul>

<h2>
    <a name="what-i-would-ship-in-a-real-product" href="#what-i-would-ship-in-a-real-product"></a>
    Gerçek bir üründe göndereceğim şeyler
</h2>

<p>Çoğu iç SaaS veya kontrol paneli tarzı ürünler için, bu yapılandırma alt edilemez:</p>

<ul>
    <li><strong>Laravel</strong> kimlik doğrulama, oturumlar, politikalar ve kullanıcı verileri için</li>
    <li><strong>Sanctum</strong> SPA oturum kimliği için</li>
    <li><strong>Next.js App Router</strong> UI ve ürün yüzeyi için</li>
    <li>Frontend ve backend arasında alt alan tabanlı ayrım</li>
    <li>Önemli tüm ortamlarda HTTPS</li>
    <li>Açık CORS ve çerez ayarları</li>
    <li>Frontend'de minimal kimlik doğrulama durumu<br /> Bunlardan kaçınırım:</li>
    <li><p><strong>NextAuth</strong> ile Laravel oturum kimliğini tamamen birleştirmekten, çok özel bir ihtiyaç yoksa.</p></li>
    <li><p>Kullanıcı kimlik doğrulama durumunu birden fazla yerde saklamak.</p></li>
    <li><p><code>localhost</code>'ta çerezleri debug etmek için haftalar geçirmek yerine uygun yerel alanlar kullanmak.</p></li>
    <li><p>SSR, edge middleware, istemci kimlik doğrulama korumaları ve token yenileme mantığını net bir sınır olmadan karıştırmak.<br /> Ana fikir basit: <strong>bir sistem kimlik doğrulamayı sahiplenmeli</strong>. Bu yığında, o sistem genellikle Laravel olmalıdır.</p></li>
</ul>

<p>Bir kez bunu kabul ederseniz, uygulama çok daha az kafa karıştırıcı hale gelir.</p>

<p>Mevcut <strong>Next.js Laravel auth</strong> yapılandırmanız kararsız hissettiriyorsa, belirtileri yamalamayı bırakın. Sınırı yeniden çizin. Laravel'in oturumu sahiplenmesine, tarayıcının çerezi taşımasına ve <strong>Next.js</strong>'in kimlik sağlayıcısı rolünü oynamak yerine ürün özelliklerini ulaştırmaya odaklanmasına izin verin.</p>

<p>Bu implementasyonu gerçekleştirirken açık tutmanız gereken resmi belgeler:</p>