Supabase Auth 與 Authgear 都能用於 Next.js App Router 正式環境,但兩者對驗證的設計哲學截然不同。本篇提供務實、平衡的對照、功能表、雙邊設定程式範例,以及何時該選哪一家的決策指引。
Next.js 的工作階段管理比傳統 SSR 應用更細膩。本篇說明具狀態與無狀態工作階段、安全 Cookie 屬性、以 jose 簽署 JWT、權杖輪替與滑動過期,以及如何在 Server Components、Route Handlers 與 Middleware 讀取工作階段資料。
App Router 預設把驗證搬到伺服器——但「搬到伺服器」不代表「已經解決」。本篇從選型到第一個受保護的 Server Component,涵蓋完整脈絡,並附可運行的 TypeScript 範例。
Next.js 的 API route 與頁面保護不同——Route Handler 必須回傳 HTTP 狀態碼,而不是重新導向。本篇涵蓋工作階段 Cookie、Bearer 權杖、RBAC 與 Server Actions,並附完整 TypeScript 範例。
Next.js 已從單純的 React 框架成長為全端平台——能力越強,攻擊面也越大。App Router、Server Components 與 Server Actions 讓驗證邏輯、資料庫查詢與業務規則和 UI 寫在同一套程式碼裡。
了解 Next.js middleware 如何運作、如何設定 matcher、在 Edge 驗證 JWT,以及如何重新導向未驗證使用者——並涵蓋 CVE-2025-29927 繞過問題。
以正確方式在 Next.js App Router 加入 JWT 驗證:httpOnly Cookie、以 jose 在 Edge middleware 驗證,以及在 Server Components 讀取 JWT claims。
2FA 不是單一價格——SMS OTP、WhatsApp OTP、TOTP 與通行密鑰的成本結構差很大。以下是各規模下的實際成本。
SMS pumping 是機器人對你的 OTP 端點狂發假請求到高費率號碼——帳單由你買單。說明原理、如何從紀錄發現,以及如何阻擋。
驗證是應用程式的正門——在 Node.js 中,做錯往往比想像中容易。本指南逐步說明建置或稽核驗證系統時,每位開發者都應遵循的 Node.js 安全最佳實務。
502 Bad Gateway 表示閘道或代理伺服器從上游收到無效回應或無回應。說明常見原因、診斷步驟與修正方式。
現今多數產品會整合付款、身分、訊息與分析工具。串接主要靠兩種模式:API 與 webhooks。
實用的通行密鑰與 WebAuthn 開發指南:原理、註冊與登入流程、JavaScript 範例、最佳實踐與測試建議。
說明 .well-known/openid-configuration 是什麼、探索文件每個欄位的意義,以及如何取得 Google、Okta、Azure、Keycloak 或自有 OIDC 提供者的文件。
SSL 已淘汰,伺服器實際用的是 TLS——但為什麼大家仍說 SSL?了解歷史、擊垮 SSL 的攻擊,以及現在該用什麼。
SSL 憑證做兩件事:加密連線並驗證伺服器身分。了解運作方式、三種憑證類型,以及憑證內含哪些欄位。
缺少中繼憑證是最常見的 SSL 設定錯誤。了解憑證鏈為何、如何在 Nginx、Apache 或 Caddy 修復中斷的鏈。
密碼是現代軟體最大的安全負擔之一。無密碼驗證以魔法連結、通行密鑰與 OTP 取代密碼——更快、更簡單且更難被攻破。本指南說明各方式如何運作、何時採用,以及實作時需注意的事項。
OAuth 2.0 是廣泛採用的框架,讓應用程式安全存取使用者資源,且無須暴露密碼或憑證。本指南以實務角度拆解 OAuth 2.0 安全——涵蓋 PKCE、state 參數、權杖管理等——協助你建置可上線的授權系統。
JSON Web Token(JWT)因能在不依賴集中式 session 儲存的前提下驗證請求,被廣泛用於驗證與授權。本指南以實務角度說明 JWT 安全,涵蓋運作原理、常見漏洞與可在正式環境落地的最佳實踐。
了解為何在分散式系統中,UUIDv7 比集中式 ID 服務更具優勢,並深入比較可擴展性、效能、排序能力與維運取捨。
完整比較 UUIDv1、UUIDv4、UUIDv6、UUIDv7 的差異,協助你依效能、排序、隱私與維運需求做出正確選擇。
了解 UUIDv7、ULID 與 Snowflake ID 的運作方式、差異,以及在可擴展、時間有序的分散式系統中何時該使用哪一種。
透過 SAML token 範例了解 SAML assertion 內容,包括屬性、驗證聲明、簽章與安全要素。
