NextJS 如何保护 API 路由？

Next.js 提供了几种机制来保护 API 路由，以确保敏感数据和功能只能被授权的用户访问。以下是一些常见的策略：

1. 内置的API Middleware

在Next.js中，你可以直接在API路由中使用中间件来检查请求并根据需要授权或拒绝它们。例如：

javascript
// pages/api/protected.js

export default function handler(req, res) {
  if (!req.headers.authorization || req.headers.authorization !== "Secret-Token") {
    return res.status(401).json({ error: 'Unauthorized' });
  }

  // 如果验证通过，继续处理请求
  res.status(200).json({ data: 'Protected content' });
}

2. JWT（JSON Web Tokens）

你可以要求客户端在请求API时提供JWT，然后验证这个JWT是否有效。例如，使用jsonwebtoken库：

javascript
import jwt from 'jsonwebtoken';

export default function handler(req, res) {
  try {
    const token = req.headers.authorization.split(' ')[1]; // Bearer <token>
    jwt.verify(token, process.env.JWT_SECRET);
    
    // 如果验证通过
    res.status(200).json({ data: 'Protected content' });
  } catch (error) {
    res.status(401).json({ error: 'Unauthorized' });
  }
}

3. 使用第三方认证服务

集成如Auth0、Firebase Authentication等第三方认证服务，利用它们的SDK来管理用户的登录状态和访问权限。

4. Session和Cookie

可以在登录时创建session并设置cookie，然后在API路由中检查这个cookie来确定用户是否登录：

javascript
import { getSession } from 'next-auth/react';

export default async function handler(req, res) {
  const session = await getSession({ req });
  if (!session) {
    return res.status(401).json({ error: 'Unauthorized' });
  }

  // 用户已认证，处理API请求
  res.status(200).json({ data: 'Protected content' });
}

5. 环境变量

对于只有服务器才应该知道的秘密（如API密钥），应该使用环境变量来保护，确保它们不会被暴露在客户端代码中。

6. 权限检查

对于更细粒度的权限控制，可以在API路由中添加角色或权限检查逻辑，以决定用户是否有权访问特定的数据或执行某个操作。

7. 限制跨源请求

设置适当的CORS（Cross-Origin Resource Sharing）策略来限制哪些外部域可以访问你的API。

使用这些方法中的一种或多种，你可以保护Next.js的API路由免受未授权的访问。在实施任何安全措施时，请确保遵循最佳安全实践，并根据你的具体需求和安全要求进行调整。