Supabase Auth 與 Authgear 都能用於 Next.js App Router 正式環境,但兩者對驗證的設計哲學截然不同。本篇提供務實、平衡的對照、功能表、雙邊設定程式範例,以及何時該選哪一家的決策指引。
Next.js 的工作階段管理比傳統 SSR 應用更細膩。本篇說明具狀態與無狀態工作階段、安全 Cookie 屬性、以 jose 簽署 JWT、權杖輪替與滑動過期,以及如何在 Server Components、Route Handlers 與 Middleware 讀取工作階段資料。
App Router 預設把驗證搬到伺服器——但「搬到伺服器」不代表「已經解決」。本篇從選型到第一個受保護的 Server Component,涵蓋完整脈絡,並附可運行的 TypeScript 範例。
Next.js 的 API route 與頁面保護不同——Route Handler 必須回傳 HTTP 狀態碼,而不是重新導向。本篇涵蓋工作階段 Cookie、Bearer 權杖、RBAC 與 Server Actions,並附完整 TypeScript 範例。
Next.js 已從單純的 React 框架成長為全端平台——能力越強,攻擊面也越大。App Router、Server Components 與 Server Actions 讓驗證邏輯、資料庫查詢與業務規則和 UI 寫在同一套程式碼裡。
了解 Next.js middleware 如何運作、如何設定 matcher、在 Edge 驗證 JWT,以及如何重新導向未驗證使用者——並涵蓋 CVE-2025-29927 繞過問題。
以正確方式在 Next.js App Router 加入 JWT 驗證:httpOnly Cookie、以 jose 在 Edge middleware 驗證,以及在 Server Components 讀取 JWT claims。
2FA 不是單一價格——SMS OTP、WhatsApp OTP、TOTP 與通行密鑰的成本結構差很大。以下是各規模下的實際成本。
SMS pumping 是機器人對你的 OTP 端點狂發假請求到高費率號碼——帳單由你買單。說明原理、如何從紀錄發現,以及如何阻擋。
SMS OTP 像安全的預設——但使用者一多,成本快速堆疊。多數市場中 WhatsApp OTP 可便宜 70–90%。以下為直接比較。
驗證是應用程式的正門——在 Node.js 中,做錯往往比想像中容易。本指南逐步說明建置或稽核驗證系統時,每位開發者都應遵循的 Node.js 安全最佳實務。
選對驗證方案是 App 最關鍵的技術決策之一。本指南涵蓋主要驗證類型、自建/採購框架,以及主流平台對照。
502 Bad Gateway 表示閘道或代理伺服器從上游收到無效回應或無回應。說明常見原因、診斷步驟與修正方式。
現今多數產品會整合付款、身分、訊息與分析工具。串接主要靠兩種模式:API 與 webhooks。
實用的通行密鑰與 WebAuthn 開發指南:原理、註冊與登入流程、JavaScript 範例、最佳實踐與測試建議。
比較主流開源 WebAuthn/FIDO2 方案,加速無密碼策略。評估 Authgear、Keycloak 等平台在安全與應用擴展性上的取捨。
金融機關與政府單位需要可掌控資料的現代 MFA。自行託管 Authgear 可降低 SaaS 風險,兼顧安全、合規與基礎建設自主性。
FIDO2 是開放標準,讓使用者無需密碼即可登入。說明 FIDO2 為何、如何運作、與 FIDO U2F 的比較,以及通行密鑰如何建構其上。
說明 .well-known/openid-configuration 是什麼、探索文件每個欄位的意義,以及如何取得 Google、Okta、Azure、Keycloak 或自有 OIDC 提供者的文件。
SSL 已淘汰,伺服器實際用的是 TLS——但為什麼大家仍說 SSL?了解歷史、擊垮 SSL 的攻擊,以及現在該用什麼。
SSL 憑證做兩件事:加密連線並驗證伺服器身分。了解運作方式、三種憑證類型,以及憑證內含哪些欄位。
缺少中繼憑證是最常見的 SSL 設定錯誤。了解憑證鏈為何、如何在 Nginx、Apache 或 Caddy 修復中斷的鏈。
密碼是現代軟體最大的安全負擔之一。無密碼驗證以魔法連結、通行密鑰與 OTP 取代密碼——更快、更簡單且更難被攻破。本指南說明各方式如何運作、何時採用,以及實作時需注意的事項。
OAuth 2.0 是廣泛採用的框架,讓應用程式安全存取使用者資源,且無須暴露密碼或憑證。本指南以實務角度拆解 OAuth 2.0 安全——涵蓋 PKCE、state 參數、權杖管理等——協助你建置可上線的授權系統。
