forbidden
forbidden 函数抛出一个错误,渲染 Next.js 403 错误页面。它对于处理应用程序中的授权错误很有用。你可以使用 forbidden.js 文件 来自定义 UI。
要开始使用 forbidden,请在 next.config.js 文件中启用实验性的 authInterrupts 配置选项:
- TypeScript
- JavaScript
next.config.ts
import type { NextConfig } from 'next'
const nextConfig: NextConfig = {
experimental: {
authInterrupts: true,
},
}
export default nextConfig
next.config.js
module.exports = {
experimental: {
authInterrupts: true,
},
}
forbidden 可以在 服务端组件、服务�器操作 和 路由处理器 中调用。
- TypeScript
- JavaScript
app/auth/page.tsx
import { verifySession } from '@/app/lib/dal'
import { forbidden } from 'next/navigation'
export default async function AdminPage() {
const session = await verifySession()
// 检查用户是否具有 'admin' 角色
if (session.role !== 'admin') {
forbidden()
}
// 为授权用户渲染管理页面
return <></>
}
app/auth/page.js
import { verifySession } from '@/app/lib/dal'
import { forbidden } from 'next/navigation'
export default async function AdminPage() {
const session = await verifySession()
// 检查用户是否具有 'admin' 角色
if (session.role !== 'admin') {
forbidden()
}
// 为授权用户渲染管理页面
return <></>
}
提示
forbidden函数不能在 根布局 中调用。
示例
基于角色的路由保护
你可以使用 forbidden 来基于用户角色限制对某些路由的访问。这确保已认证但缺乏所需权限的用户无法访问路由。
- TypeScript
- JavaScript
app/admin/page.tsx
import { verifySession } from '@/app/lib/dal'
import { forbidden } from 'next/navigation'
export default async function AdminPage() {
const session = await verifySession()
// 检查用户是否具有 'admin' 角色
if (session.role !== 'admin') {
forbidden()
}
// 为授权用户渲染管理页面
return (
<main>
<h1>Admin Dashboard</h1>
<p>Welcome, {session.user.name}!</p>
</main>
)
}
app/admin/page.js
import { verifySession } from '@/app/lib/dal'
import { forbidden } from 'next/navigation'
export default async function AdminPage() {
const session = await verifySession()
// 检查用户是否具有 'admin' 角色
if (session.role !== 'admin') {
forbidden()
}
// 为授权用户渲染管理页面
return (
<main>
<h1>Admin Dashboard</h1>
<p>Welcome, {session.user.name}!</p>
</main>
)
}
使用服务器操作的变更
在服务器操作中实现变更时,你可以使用 forbidden 来只允许具有特定角色的用户更新敏感数据。
- TypeScript
- JavaScript
app/actions/update-role.ts
'use server'
import { verifySession } from '@/app/lib/dal'
import { forbidden } from 'next/navigation'
import db from '@/app/lib/db'
export async function updateRole(formData: FormData) {
const session = await verifySession()
// 确保只有管理员可以更新角色
if (session.role !== 'admin') {
forbidden()
}
// 为授权用户执行角色更新
// ...
}
app/actions/update-role.js
'use server'
import { verifySession } from '@/app/lib/dal'
import { forbidden } from 'next/navigation'
import db from '@/app/lib/db'
export async function updateRole(formData) {
const session = await verifySession()
// 确保只有管理员可以更新角色
if (session.role !== 'admin') {
forbidden()
}
// 为授权用户执行角色更新
// ...
}
版本历史
| 版本 | 更改 |
|---|---|
v15.1.0 | 引入了 forbidden。 |