अपस्टैश रेडिस का उपयोग करके Next.js में सुरक्षित सत्र प्रबंधन

"सत्र" क्या है?

• उपयोगकर्ता प्रमाणीकरण :सत्र उपयोगकर्ताओं को प्रमाणित करने और सभी पृष्ठों पर या ताज़ा करने के बाद भी उनकी लॉग-इन स्थिति को याद रखने में मदद करते हैं।
• निजीकरण :सत्र सर्वर को उपयोगकर्ता प्राथमिकताएं, प्रमाणीकरण स्थिति इत्यादि जैसे डेटा को संग्रहीत और पुनर्प्राप्त करने की अनुमति देते हैं।
• सुरक्षा :उचित सत्र प्रबंधन ऐप सुरक्षा को बढ़ा सकता है, जैसे सीएसआरएफ से सुरक्षा और यह सुनिश्चित करना कि अनधिकृत उपयोगकर्ता प्रतिबंधित क्षेत्रों तक न पहुंचें।

सत्र प्रबंधन के लिए Redis क्यों?

• <पी> डेटा आर्किटेक्चर :रेडिस एक इन-मेमोरी की-वैल्यू स्टोर है। कुंजी-मूल्य जोड़े को हैश में संग्रहीत किया जा सकता है, जहां हैश फ़ील्ड-मूल्य जोड़े के संग्रह के रूप में संरचित एक रिकॉर्ड प्रकार है। यह संरचना सत्र प्रबंधन डेटा प्रकार के लिए पूरी तरह से फिट बैठती है ताकि सभी सत्र डेटा, जैसे उपयोगकर्ता नाम, उपयोगकर्ता प्राथमिकता इत्यादि को प्रति उपयोगकर्ता सत्र हैश में कुंजी-मूल्य प्रारूप में बनाए रखा जा सके।

• <पी> डेटा समाप्ति :Redis में समाप्त हो चुके डेटा को हटाने के लिए एक अंतर्निहित कार्यक्षमता है। यह वेब एप्लिकेशन को उपयोगकर्ता सत्रों को समयबद्ध रखने में मदद करता है।

• <पी> कम विलंबता :अपनी "इन-मेमोरी" प्रकृति के कारण, रेडिस बेहद तेज़ है। इसीलिए इसका उपयोग आमतौर पर उपयोगकर्ता सत्र और कैश डेटा के लिए किया जाता है।

• <पी> स्केलेबिलिटी :रेडिस को बड़ी मात्रा में डेटा और उच्च-थ्रूपुट ट्रैफ़िक को संभालने के लिए बनाया गया है।

• <पी> उपयोगकर्ता द्वारा छेड़छाड़ के प्रति कम संवेदनशील :कुकीज़ उपयोगकर्ताओं को दिखाई देती हैं और उपयोगकर्ता द्वारा उनमें हेरफेर किया जा सकता है। रेडिस हमें उपयोगकर्ता डेटा को उपयोगकर्ताओं द्वारा हेरफेर किए जाने से बचाने की अनुमति देता है।

• <पी> क्लाइंट और सर्वर के बीच कम डेटा स्थानांतरित: चूंकि हम सभी सत्र की जानकारी रेडिस में संग्रहीत करते हैं, इसलिए हमें क्लाइंट मशीन में कुछ भी संग्रहीत करने की आवश्यकता नहीं है।

• <पी> क्लाइंट मशीन में केवल "SessionId" संग्रहीत करना: यदि हम रेडिस का उपयोग करते हैं, तो हमें प्रत्येक अनुरोध के लिए केवल sessionId की आवश्यकता होती है ताकि यह पता चल सके कि यह अनुरोध किस सत्र में है।

अपस्टैश रेडिस डेटाबेस बनाना

• <पी> सर्वर रहित: अपस्टैश रेडिस एक सर्वर रहित डेटाबेस है। आपको बुनियादी ढांचे को बनाए रखने, डेटाबेस के स्केलिंग या किसी अन्य निम्न-स्तरीय कॉन्फ़िगरेशन के बारे में चिंता करने की आवश्यकता नहीं है। आप बस डेटाबेस बनाएं और उसका उपयोग करें।

• <पी> वैश्विक डेटा वितरण: अपस्टैश आपको अपने रेडिस इंस्टेंस को अपने उपयोगकर्ताओं के नजदीकी क्षेत्रों में तैनात करने की अनुमति देता है, जिससे विलंबता और भी कम हो जाती है। यह विश्व स्तर पर वितरित अनुप्रयोगों के लिए विशेष रूप से फायदेमंद है, यह सुनिश्चित करता है कि सत्र भंडारण उपयोगकर्ता के स्थान की परवाह किए बिना तेज़ और प्रतिक्रियाशील है।

• <पी> जाते समय भुगतान करें: कोई प्रवेश शुल्क नहीं है. आप केवल उसी के लिए भुगतान करते हैं जिसका आप उपयोग करते हैं। आप मूल्य निर्धारण विवरण देख सकते हैं।

नेक्स्टजेएस ऐप में अपस्टैश रेडिस का उपयोग करना

• <पी> हमें सबसे पहले क्लाइंट ब्राउज़र से बिना किसी sessionId के अनुरोध प्राप्त होता है।

• <पी> चूँकि अनुरोध में कोई sessionId नहीं है, हम एक sessionId बनाते हैं और Redis में एक हैश बनाते हैं।

• <पी> क्लाइंट मशीन की प्रतिक्रिया में सेशनआईडी को कुकी के रूप में लौटाएँ।

• <पी> जब हमें sessionId के साथ एक नया HTTP अनुरोध प्राप्त होता है, तो हम Redis से आवश्यक सत्र डेटा पुनर्प्राप्त करते हैं और क्लाइंट को जवाब देते समय इसका उपयोग करते हैं।

npx create-next-app@latest <project-name>

cd <project-name>
npm install @upstash/redis

import { Redis } from '@upstash/redis'
import { cookies } from 'next/headers'
 
export const redis = new Redis({
 url: '<UPSTASH-REDIS-URL>',
 token: 'UPSTASH-REDIS-TOKEN',
})
 
type SessionId = string;
type Key = 'userName' | 'sessionStatus'; // other keys of the session data can be added.
 
export async function getSessionId(): SessionId | undefined {
 const cookieStore = await cookies();
 return cookieStore.get("session-id")?.value;
}
 
async function setSessionId(sessionId: SessionId): void {
 const cookieStore = await cookies();
 cookieStore.set("session-id", sessionId);
}
 
export async function getSessionIdAndCreateIfMissing() {
 const sessionId = await getSessionId();
 if (!sessionId) {
 const newSessionId = crypto.randomUUID();
 await setSessionId(newSessionId);
 
 return newSessionId;
 }
 
 return sessionId;
}
 
export async function get(key: Key, username: string = "") {
 const sessionId = await getSessionId();
 if (!sessionId) {
 return null;
 }
 return await redis.hget(`session-${username}-${sessionId}`, key);
}
 
export async function getAll(username: string = "") {
 const sessionId = await getSessionId();
 if (!sessionId) {
 return null;
 }
 return await redis.hgetall(`session-${username}-${sessionId}`);
}
 
export async function set(key: Key, value: string, username: string = "") {
 const sessionId = await getSessionIdAndCreateIfMissing();
 await redis.hset(`session-${username}-${sessionId}`, { [key]: value });
 return redis.expire(`session-${username}-${sessionId}`, 900);
}

• <पी> getSessionId :हम सत्र आईडी को उपयोगकर्ताओं के ब्राउज़र की कुकीज़ में संग्रहीत करेंगे। यह फ़ंक्शन HTTP कॉल के अंदर एपीआई को भेजे गए ब्राउज़र कुकीज़ से सत्र आईडी प्राप्त करना है।

• <पी> setSessionId :यह फ़ंक्शन सत्र आईडी कुकी को दिए गए सत्र आईडी पैरामीटर पर सेट करता है।

• <पी> getSessionIdAndCreateIfMissing :यह फ़ंक्शन getSessionId को कॉल करता है कुकीज़ से मौजूदा सत्र आईडी प्राप्त करने के लिए और नए यादृच्छिक यूयूआईडी को नए सत्र आईडी के रूप में सेट करने के लिए जब तक कि उपयोगकर्ता के ब्राउज़र में पहले से ही एक सत्र आईडी न हो। यह फ़ंक्शन ब्राउज़र पर वापस भेजने के लिए कुकीज़ में नई सत्र आईडी भी जोड़ता है।

• <पी> सत्रडेटा प्राप्त करें :हम रेडिस से सत्र डेटा प्राप्त करने के लिए इस फ़ंक्शन को कॉल करेंगे। यह अपस्टैश रेडिस से दी गई कुंजी का सत्र डेटा प्राप्त करेगा और उसे वापस कर देगा।

• <पी> सभी सत्र डेटा प्राप्त करें :यह फ़ंक्शन सभी सत्र डेटा प्राप्त करता है। यह अपस्टैश रेडिस से सत्र हैश के सभी कुंजी-मूल्य जोड़े प्राप्त करता है।

• <पी> सेटसेशनडेटा :हम इस फ़ंक्शन में दिए गए सत्र के कुंजी-मूल्य जोड़े सेट करेंगे।

 import * as sessionStore from '../../lib/session'
 
 export async function GET(request: Request,{ params }: { params: Promise<{ user: string }> }){
 const userName = (await params).user;
 const sessionId = await sessionStore.getSessionIdAndCreateIfMissing();
 const sessionStatus = await sessionStore.get('sessionStatus', userName);
 if(sessionStatus == null) {
 console.log('There is no active session.');
 await sessionStore.set('sessionStatus', 'ACTIVE', userName);
 }
 return Response.json({ userName: userName, sessionId: sessionId });
}
 

npm run dev

{"userName":"noah","sessionId":"804814dc-10fc-4b0a-a4c1-321f4b54d399"}

निष्कर्ष