Authentification fonctionnelle via security.lions.dev
This commit is contained in:
DahoudG
@@ -1,97 +1,17 @@
|
||||
/**
|
||||
* Middleware Next.js pour l'authentification OAuth avec Keycloak
|
||||
* Middleware Next.js simplifié pour Frontend-Centric auth
|
||||
*
|
||||
* Ce middleware protège les routes privées en vérifiant la présence
|
||||
* d'un access_token dans les cookies HttpOnly.
|
||||
* Avec Keycloak JS SDK, l'authentification est gérée côté client par KeycloakContext.
|
||||
* Ce middleware laisse passer toutes les requêtes - la protection des routes est
|
||||
* gérée par ProtectedLayout et AuthContext côté client.
|
||||
*/
|
||||
|
||||
import { NextResponse } from 'next/server';
|
||||
import type { NextRequest } from 'next/server';
|
||||
|
||||
// Routes publiques accessibles sans authentification
|
||||
const PUBLIC_ROUTES = [
|
||||
'/',
|
||||
'/auth/login',
|
||||
'/auth/callback',
|
||||
'/api/auth/login',
|
||||
'/api/auth/callback',
|
||||
'/api/auth/token',
|
||||
'/api/health',
|
||||
];
|
||||
|
||||
// Routes API publiques (patterns)
|
||||
const PUBLIC_API_PATTERNS = [
|
||||
/^\/api\/auth\/.*/,
|
||||
/^\/api\/health/,
|
||||
];
|
||||
|
||||
// Vérifie si une route est publique
|
||||
function isPublicRoute(pathname: string): boolean {
|
||||
// Vérifier les routes exactes
|
||||
if (PUBLIC_ROUTES.includes(pathname)) {
|
||||
return true;
|
||||
}
|
||||
|
||||
// Vérifier les patterns
|
||||
return PUBLIC_API_PATTERNS.some(pattern => pattern.test(pathname));
|
||||
}
|
||||
|
||||
export function middleware(request: NextRequest) {
|
||||
const { pathname } = request.nextUrl;
|
||||
|
||||
console.log('🔒 Middleware - Checking:', pathname);
|
||||
|
||||
// Laisser passer les routes publiques
|
||||
if (isPublicRoute(pathname)) {
|
||||
console.log('✅ Middleware - Public route, allowing');
|
||||
return NextResponse.next();
|
||||
}
|
||||
|
||||
// Laisser passer les fichiers statiques
|
||||
if (
|
||||
pathname.startsWith('/_next') ||
|
||||
pathname.startsWith('/static') ||
|
||||
pathname.includes('.')
|
||||
) {
|
||||
return NextResponse.next();
|
||||
}
|
||||
|
||||
// Vérifier la présence du token d'authentification
|
||||
const accessToken = request.cookies.get('access_token');
|
||||
const tokenExpiresAt = request.cookies.get('token_expires_at');
|
||||
|
||||
if (!accessToken) {
|
||||
console.log('❌ Middleware - No access token, redirecting to login');
|
||||
|
||||
// Rediriger vers la page de login avec l'URL de retour
|
||||
const loginUrl = new URL('/auth/login', request.url);
|
||||
loginUrl.searchParams.set('returnUrl', pathname);
|
||||
|
||||
return NextResponse.redirect(loginUrl);
|
||||
}
|
||||
|
||||
// Vérifier si le token est expiré
|
||||
if (tokenExpiresAt) {
|
||||
const expiresAt = parseInt(tokenExpiresAt.value, 10);
|
||||
const now = Date.now();
|
||||
|
||||
if (now >= expiresAt) {
|
||||
console.log('❌ Middleware - Token expired, redirecting to login');
|
||||
|
||||
// Supprimer les cookies expirés
|
||||
const response = NextResponse.redirect(new URL('/auth/login', request.url));
|
||||
response.cookies.delete('access_token');
|
||||
response.cookies.delete('refresh_token');
|
||||
response.cookies.delete('id_token');
|
||||
response.cookies.delete('token_expires_at');
|
||||
|
||||
return response;
|
||||
}
|
||||
}
|
||||
|
||||
console.log('✅ Middleware - Authenticated, allowing');
|
||||
|
||||
// L'utilisateur est authentifié, laisser passer
|
||||
// Laisser passer toutes les requêtes
|
||||
// L'authentification est gérée côté client par Keycloak JS SDK
|
||||
return NextResponse.next();
|
||||
}
|
||||
|
||||
|
||||
Reference in New Issue
Block a user