Next.js 中处理 401 未授权错误的正确姿势
在 Next.js 项目中,当我们需要处理 API 请求的 401 未授权错误时,往往会遇到一个棘手的问题:无法直接在服务器端修改 cookies。本文将深入探讨这个问题的根源,并提供一套完整的解决方案。
问题背景
在 Next.js 应用中,我们通常会使用自定义的 fetch 封装函数作为统一的 API 请求处理器。当服务器返回 401 状态码时,我们希望自动登出当前用户,类似于 Axios 拦截器的处理方式。
然而,当尝试在服务器组件中调用 auth.js 的 signOut 方法时,会遇到如下错误提示:"Cookies can only be modified in a Server Action or Route Handler"。这是因为 Next.js 出于安全考虑,限制了在服务器组件中直接操作 cookies 的能力。
问题分析
这个限制实际上是 Next.js 的一种安全机制。服务器组件在渲染时执行,此时直接操作 cookies 可能会导致不可预期的行为。正确的做法是将 cookies 操作放在专门设计的 Server Action 或 Route Handler 中。
解决方案
1. 创建专用的登出路由处理器
我们需要创建一个专门处理登出逻辑的路由处理器。这个处理器将负责两件事:
- 清除所有相关的认证 cookies
- 调用 signOut 方法终止会话
import { signOut } from "@/auth";
import { cookies } from "next/headers";
import { NextResponse } from "next/server";
export async function GET() {
const cookieStore = cookies();
const cookieKeys = ["authjs.session-token", "next-auth.session-token", "access_token"];
cookieKeys.forEach((key) => cookieStore.delete(key));
await signOut({ redirect: false });
return NextResponse.redirect("/login");
}
2. 修改 fetch 封装函数
在统一的 fetch 封装中,当检测到 401 错误时,我们不再直接调用 signOut,而是重定向到我们创建的登出路由:
async function fetchApiProxy<T, ET = any>(
url: string,
options?: RequestInit & { authorize?: boolean },
) {
const res = await fetchApi<T, ET>(url, options);
if (res.status === 401 || res.message === "UnAuthentication") {
await redirectTo("/api/logout");
}
return res;
}
实现细节
完整的 fetch 封装实现
一个健壮的 fetch 封装应该包含以下功能:
- 自动添加认证头信息
- 统一错误处理
- 401 错误自动处理
- 类型安全
"server-only";
async function fetchApi<T, ET = any>(
url: string,
options?: RequestInit & { authorize?: boolean },
): Promise<FetchApiResponse<T, ET>> {
try {
const session = await auth();
const res = await fetch(`${process.env.API_BASE_URL}${url}`, {
...options,
headers: {
"Content-Type": "application/json",
...options?.headers,
...(options?.authorize && {
Authorization: `Bearer ${session?.accessToken}`,
}),
},
});
const data = await res.json();
if (!res.ok) {
return {
isError: true,
message: data?.message || res.statusText || "Unknown error",
data: null,
status: res.status,
errorData: data?.data ?? null,
};
}
return {
isError: false,
message: data?.message || null,
data: data?.data,
errorData: null,
status: res.status,
};
} catch (error) {
return {
isError: true,
message: error instanceof Error ? error.message : "Unknown error",
data: null,
status: 500,
errorData: null,
};
}
}
最佳实践
- 错误处理统一化:所有 API 请求都通过这个封装函数进行,确保错误处理一致
- 认证自动化:通过 authorize 选项自动添加认证头信息
- 类型安全:使用 TypeScript 泛型确保请求和响应类型安全
- 安全考虑:避免在服务器组件中直接操作 cookies
总结
在 Next.js 应用中处理 401 错误时,关键在于理解框架的安全限制并找到符合设计原则的解决方案。通过创建专用的路由处理器来处理登出逻辑,我们既遵守了框架的限制,又实现了业务需求。这种模式不仅解决了当前问题,还为应用提供了清晰的结构和可维护的代码基础。
对于更复杂的认证场景,可以考虑扩展这个方案,例如添加刷新令牌的逻辑,或者在登出时执行额外的清理工作。记住,良好的错误处理是构建健壮应用的关键部分。
- DDeepSeek-V3.1-BaseDeepSeek-V3.1 是一款支持思考模式与非思考模式的混合模型Python00
- QQwen-Image-Edit基于200亿参数Qwen-Image构建,Qwen-Image-Edit实现精准文本渲染与图像编辑,融合语义与外观控制能力Jinja00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~044CommonUtilLibrary
快速开发工具类收集,史上最全的开发工具类,欢迎Follow、Fork、StarJava04GitCode百大开源项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。06GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00openHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!C0300- WWan2.2-S2V-14B【Wan2.2 全新发布|更强画质,更快生成】新一代视频生成模型 Wan2.2,创新采用MoE架构,实现电影级美学与复杂运动控制,支持720P高清文本/图像生成视频,消费级显卡即可流畅运行,性能达业界领先水平Python00
- GGLM-4.5-AirGLM-4.5 系列模型是专为智能体设计的基础模型。GLM-4.5拥有 3550 亿总参数量,其中 320 亿活跃参数;GLM-4.5-Air采用更紧凑的设计,拥有 1060 亿总参数量,其中 120 亿活跃参数。GLM-4.5模型统一了推理、编码和智能体能力,以满足智能体应用的复杂需求Jinja00
Yi-Coder
Yi Coder 编程模型,小而强大的编程助手HTML013
热门内容推荐
最新内容推荐
项目优选









