架构师的困境：将身份验证从 Clerk 迁移到 Auth0

Source: Dev.to

背景故事

作为一名全栈工程师兼 Delta Auth 的创始人，我花了无数个小时研究用户与应用之间的“握手”。最近，我为一家网络安全公司主导了一次关键迁移任务，将他们的整个基础设施从 Clerk 迁移到 Auth0。

虽然 Clerk 在开发者体验上是“王者”，但迁移到像 Auth0 这样的企业级解决方案会带来许多教程中未涉及的架构难题。

核心挑战：不可见的持久化

我遇到的最大摩擦点并不是 API，而是理解 httpOnly cookie。一开始，我很难弄清楚用户如何在不将数据保存在 Zustand 或 Redux 等全局状态库中的情况下跨路由保持登录状态。

我发现的逻辑是：浏览器是你的安全官员，而不是你的状态管理器。

1. 为什么使用 httpOnly？

在高安全环境下，JavaScript 是一种风险。如果恶意脚本能够读取你的 localStorage，会导致会话被窃取。通过使用 httpOnly cookie，我们把会话令牌放进一个“锁定的金库”，JavaScript 无法触及。

2. “同步”模式

由于我的 Next.js 前端无法“看到” cookie，我必须构建一个 服务器端桥接。前端不再去询问 “有没有 token？”，而是后端中间件在每个请求上自动检查 cookie。

// middleware.ts – The Onwodi Logic Bridge
import { NextResponse } from 'next/server';
import type { NextRequest } from 'next/server';

export function middleware(request: NextRequest) {
  // The 'invisible' cookie being checked server‑side
  const session = request.cookies.get('auth0_session_token');

  const { pathname } = request.nextUrl;

  // Protect sensitive routes without needing Frontend State
  if (!session && pathname.startsWith('/dashboard')) {
    return NextResponse.redirect(new URL('/login', request.url));
  }

  return NextResponse.next();
}