基于角色的访问控制

有两种方法可以使用 Auth.js 向您的应用程序添加基于角色的访问控制 (RBAC)，具体取决于您选择的会话策略。让我们看看每个策略的示例。

获取角色

首先，向提供者配置添加 profile() 回调，以确定用户角色

./auth.ts

import NextAuth from "next-auth"
import Google from "next-auth/providers/google"
 
export const { handlers, auth } = NextAuth({
  providers: [
    Google({
      profile(profile) {
        return { role: profile.role ?? "user", ... }
      },
    })
  ],
})

/src/routes/[email protected]

import { QwikAuth$ } from "@auth/qwik"
import Google from "@auth/qwik/providers/google"
 
export const { onRequest, useSession, useSignIn, useSignOut } = QwikAuth$(
  () => ({
    providers: [
      Google({
        profile(profile) {
          return { role: profile.role ?? "user", ... }
        },
      })
    ],
  })
)

./src/auth.ts

import SvelteKitAuth from "@auth/sveltekit"
import Google from "@auth/sveltekit/providers/google"
 
export const { handle } = SvelteKitAuth({
  providers: [
    Google({
      profile(profile) {
        return { role: profile.role ?? "user", ... }
      },
    })
  ],
})

💡

确定用户角色是您的责任，您可以添加自己的逻辑，或者如果您的提供者返回角色，您可以直接使用该角色。

持久化角色

持久化角色的方式将取决于您使用的会话策略。如果您不知道使用的是哪种会话策略，那么很可能您使用的是 JWT（默认策略）。

使用 JWT

当您没有配置数据库时，角色将通过使用 jwt() 回调持久化到 cookie 中。在登录时，role 属性将在 user 对象上的 profile 回调中公开。通过将 user.role 值赋给 token.role 来持久化 user.role 值。就这样！

如果您还想在客户端使用角色，则可以通过 session 回调公开它。

./auth.ts

import NextAuth from "next-auth"
import Google from "next-auth/providers/google"
 
export const { handlers, auth } = NextAuth({
  providers: [
    Google({
      profile(profile) {
        return { role: profile.role ?? "user", ... }
      },
    })
  ],
  callbacks: {
    jwt({ token, user }) {
      if(user) token.role = user.role
      return token
    },
    session({ session, token }) {
      session.user.role = token.role
      return session
    }
  }
})

/src/routes/[email protected]

import { QwikAuth$ } from "@auth/qwik"
import Google from "@auth/qwik/providers/google"
 
export const { onRequest, useSession, useSignIn, useSignOut } = QwikAuth$(
  () => ({
    providers: [
      Google({
        profile(profile) {
          return { role: profile.role ?? "user", ... }
        },
      })
    ],
    callbacks: {
      jwt({ token, user }) {
        if(user) token.role = user.role
        return token
      },
      session({ session, token }) {
        session.user.role = token.role
        return session
      }
    }
  })
)

./src/auth.ts

import SvelteKitAuth from "@auth/sveltekit"
import Google from "@auth/sveltekit/providers/google"
 
export const { handle } = SvelteKitAuth({
  providers: [
    Google({
      profile(profile) {
        return { role: profile.role ?? "user", ... }
      },
    })
  ],
  callbacks: {
    jwt({ token, user }) {
      if(user) token.role = user.role
      return token
    },
    session({ session, token }) {
      session.user.role = token.role
      return session
    }
  }
})

使用此策略，如果您想更新角色，则需要强制用户重新登录。

使用数据库

当您有数据库时，您可以在用户模型上保存用户角色。以下示例展示了如何使用 Prisma 完成此操作，但所有适配器的理念都是一样的。

首先，向用户模型添加 role 列。

/prisma/schema.prisma

model User {
  id            String    @id @default(cuid())
  name          String?
  email         String?   @unique
  emailVerified DateTime?
  image         String?
  role          String?  // New column
  accounts      Account[]
  sessions      Session[]
}

profile() 回调的返回值用于在数据库中创建用户。就这样！您新创建的用户现在将拥有分配的角色。

如果您还想在客户端使用角色，则可以通过 session 回调公开它。

./auth.ts

import NextAuth from "next-auth"
import Google from "next-auth/providers/google"
import prisma from "lib/prisma"
 
export const { handlers, auth } = NextAuth({
  adapter: PrismaAdapter(prisma),
  providers: [
    Google({
      profile(profile) {
        return { role: profile.role ?? "user", ... }
      }
    })
  ],
  callbacks: {
    session({ session, user }) {
      session.user.role = user.role
      return session
    }
  }
})

/src/routes/[email protected]

import { QwikAuth$ } from "@auth/qwik"
import { PrismaAdapter } from "@auth/prisma-adapter"
import { PrismaClient } from "@prisma/client"
 
const prisma = new PrismaClient()
 
export const { onRequest, useSession, useSignIn, useSignOut } = QwikAuth$(
  () => ({
    providers: [],
    adapter: PrismaAdapter(prisma),
    callbacks: {
      session({ session, user }) {
        session.user.role = user.role
        return session
      },
    },
  })
)

./src/auth.ts

import SvelteKitAuth from "@auth/sveltekit"
import Google from "@auth/sveltekit/providers/google"
import prisma from "lib/prisma"
 
export const { handle, auth } = SvelteKitAuth({
  adapter: PrismaAdapter(prisma),
  providers: [
    Google({
      profile(profile) {
        return { role: profile.role ?? "user", ... }
      }
      ...
    })
  ],
  callbacks: {
    session({ session, user }) {
      session.user.role = user.role
      return session
    }
  }
})

src/hooks.server.ts

export { handle } from "./auth"

如何管理更新角色取决于您，您可以通过直接访问数据库或构建角色更新 API 来完成。

使用角色

用户可以通过从相应框架的配置文件中导出的授权函数访问当前会话中存储的信息。此函数检索通过配置文件中的 session 和 jwt 回调公开的信息。使用此信息，您可以实现不同的策略和逻辑，以根据您的需求显示 UI。

要在服务器端获取数据，您应该从配置文件中导入 auth 函数，并验证用户是否具有预期的角色。

./app/admin/page.tsx

import { auth } from "@/auth";
 
export default async function Page() {
  const session = await auth();
 
  if (session?.user?.role === "admin") {
    return <p>You are an admin, welcome!</p>;
  }
 
  return <p>You are not authorized to view this page!</p>;
}

如果您想在客户端使用角色，请使用 useSession 钩子。如果您通过 session 回调公开了角色，则 session.user.role 将包含所需的角色。

./app/admin/page.tsx

"use client"
import { useSession } from "next-auth/react";
 
export default function Page() {
  const session = useSession();
 
  if (session?.user?.role === "admin") {
    return <p>You are an admin, welcome!</p>;
  }
 
  return <p>You are not authorized to view this page!</p>;
}

/src/routes/[email protected]

export const onRequest: RequestHandler = (event) => {
  const session = event.sharedMap.get("session")
  if (!session || new Date(session.expires) < new Date()) {
    throw event.redirect(302, `/auth/signin?redirectTo=${event.url.pathname}`)
  }
 
  return session
}

./routes/+page.server.ts

import { redirect } from "@sveltejs/kit"
 
export const load: PageServerLoad = async (event) => {
  const session = await event.locals.auth()
 
  if (!session && event.url.pathname !== "/login") {
    const fromUrl = event.url.pathname + event.url.search
    redirect(307, `/login?redirectTo=${encodeURIComponent(fromUrl)}`)
  }
 
  return {
    session,
  }
}

💡

当使用 Next.js 和 JWT 时，您也可以使用中间件，根据用户的角色重定向用户，甚至在渲染页面之前。

资源

限制用户访问应用程序支持企业代理

基于角色的访问控制

获取角色

持久化角色

使用 JWT

使用数据库

使用角色

资源

关于 Auth.js

下载

鸣谢