Magdy Atef Zahran

إزاي تبني نظام RBAC (Role-Based Access Control) متكامل في Next.js؟

لو بتشتغل على مشروع في Next.js وعاوز تتحكم في صلاحيات المستخدمين حسب أدوارهم زي Admins و Users فأنت محتاج تبني نظام RBAC. الفكرة ببساطة هي إنك تحدد مين يقدر يعمل إيه بدل ما تكتب شروط في كل مكان 🤔

في الأول: يعني إيه RBAC؟

ببساطه هوا نظام بيحدد مين يقدر يعمل إيه بناءً على دوره في الموقع, بدل ما تفضل تكتب شروط في كل صفحة، بتحدد صلاحيات لكل دور (Role) في مكان واحد.

طيب إزاي نطبقه في Next.js؟

هنمشي مع بعض خطوه بخطوه عشان نبني RBAC كامل باذن الله…

1️⃣ هنعمل تعريف لللأدوار والصلاحيات:

📂 utils/roles.js

export const roles = { admin: [“create”, “edit”, “delete”, “view”], editor: [“edit”, “view”], user: [“view”], };

– عرفنا الأدوار اللي عندنا وكل دور معاه الصلاحيات بتاعته.
– كده أي حد عنده دور معين، نقدر نعرف بالظبط هو يقدر يعمل إيه.

2️⃣ بعد كدا هنعمل Middleware لحماية الصفحات:

📂 middleware/auth.js

import { roles } from “@/utils/roles”; export function checkPermission(userRole, action) { return roles[userRole]?.includes(action); }

– كتبنا Function checkPermission اللي بتشوف لو الدور عنده الصلاحية المطلوبة ولا لأ.
– كده بدل ما نكرر أكواد التحقق في كل صفحة بنستخدمها في أي مكان عادي.

3️⃣ هنستخدم RBAC في API Routes:

📂 pages/api/protected.js

import { checkPermission } from “@/middleware/auth”; export default function handler(req, res) { const userRole = req.headers[“x-user-role”]; if (!checkPermission(userRole, “edit”)) { return res.status(403).json({ error: “Unauthorized” }); } res.status(200).json({ message: “Access Granted!” }); }

- – جبنا دور المستخدم من headers.
- – استخدمنا checkPermission عشان نعرف لو مسموح له ولا لأ.

لو مسموح بيرجعله Access Granted.

لو مش مسموح، بنرجّع Error 403

4️⃣ نحمي الصفحات في الـ Frontend:

📂 pages/dashboard.js

import { useEffect } from “react”; import { useRouter } from “next/router”; export default function Dashboard({ userRole }) { const router = useRouter(); useEffect(() => { if (userRole !== “admin”) router.push(“/unauthorized”); }, []); return <h1>لوحة التحكم</h1> ; }