19, May 2025
Gestion de l'authentification Supabase avec Next.js
Introduction à l'authentification avec Supabase et Next.js
Dans le monde du développement web moderne, la sécurité et l'authentification des utilisateurs sont devenues des aspects cruciaux de toute application. Que vous construisiez une plateforme SaaS, une application de commerce électronique ou un réseau social, la gestion efficace de l'authentification est essentielle pour protéger les données de vos utilisateurs et offrir une expérience personnalisée. Supabase, souvent décrit comme "l'alternative open source à Firebase", combiné avec Next.js, l'un des frameworks React les plus populaires, constitue une solution puissante pour implémenter un système d'authentification robuste et sécurisé.
Ce guide exhaustif vous accompagnera à travers toutes les étapes nécessaires pour mettre en place un système d'authentification complet entre Supabase et Next.js. Vous découvrirez comment configurer votre projet, implémenter différentes méthodes d'authentification, gérer les sessions utilisateurs, et sécuriser vos routes et API. Que vous soyez un développeur débutant ou expérimenté, ce guide vous fournira les connaissances et les outils nécessaires pour créer un système d'authentification moderne qui répond aux standards actuels de sécurité.
Avant de plonger dans les détails techniques, prenons un moment pour comprendre pourquoi la combinaison de Supabase et Next.js est particulièrement avantageuse pour la gestion de l'authentification. Supabase offre une infrastructure d'authentification prête à l'emploi avec support pour l'email/mot de passe, OAuth (Google, GitHub, etc.), et les liens magiques, tandis que Next.js apporte des fonctionnalités puissantes comme le rendu côté serveur, les API routes, et un système de middleware qui facilitent la création d'applications web sécurisées et performantes.
Configuration initiale de Supabase avec Next.js
Mise en place de votre projet Supabase
La première étape pour implémenter l'authentification entre Supabase et Next.js est de configurer correctement votre projet Supabase. Voici comment procéder:
- Création d'un compte Supabase: Rendez-vous sur le site officiel de Supabase (supabase.com) et créez un compte si vous n'en avez pas déjà un.
- Création d'un nouveau projet: Une fois connecté à votre dashboard Supabase, cliquez sur "New Project" et remplissez les informations nécessaires comme le nom du projet et le mot de passe de la base de données.
- Récupération des clés API: Après la création de votre projet, accédez aux paramètres API dans le menu de gauche. Vous y trouverez deux clés importantes: URL: L'URL de votre projet Supabaseanon key: La clé publique qui sera utilisée pour les requêtes non authentifiées
Ces informations seront essentielles pour configurer la connexion entre votre application Next.js et Supabase.
Configuration de Next.js pour Supabase
Maintenant, configurons votre projet Next.js pour qu'il communique avec Supabase:
- Création d'un projet Next.js: Si vous n'avez pas encore de projet Next.js, vous pouvez en créer un en utilisant la commande suivante:
npx create-next-app mon-projet-nextjs
cd mon-projet-nextjs- Installation des dépendances Supabase: Installez les packages nécessaires pour utiliser Supabase avec Next.js:
npm install @supabase/supabase-js @supabase/ssr- Configuration des variables d'environnement: Créez un fichier .env.local à la racine de votre projet et ajoutez-y vos clés Supabase:
NEXT_PUBLIC_SUPABASE_URL=votre-url-supabase
NEXT_PUBLIC_SUPABASE_ANON_KEY=votre-clé-anon- Création des clients Supabase: Pour utiliser Supabase efficacement avec Next.js, vous devez créer deux types de clients - un pour le côté client et un pour le côté serveur.
Cette configuration initiale pose les bases nécessaires pour commencer à implémenter l'authentification dans votre application. Dans les sections suivantes, nous verrons comment configurer ces clients en détail et comment les utiliser pour gérer l'authentification.
Implémentation de l'authentification côté client
Création du client Supabase côté client
Pour commencer l'implémentation de l'authentification côté client, nous devons d'abord créer un client Supabase qui fonctionnera dans l'environnement du navigateur. Cette approche est particulièrement utile pour les fonctionnalités interactives comme les formulaires de connexion.
Créez un fichier lib/supabase/client.js (ou .ts si vous utilisez TypeScript) avec le contenu suivant:
import { createBrowserClient } from '@supabase/ssr'
export function createClient() {
return createBrowserClient(
process.env.NEXT_PUBLIC_SUPABASE_URL,
process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY
)
}Ce client sera utilisé dans les composants côté client pour gérer l'authentification et les interactions avec Supabase.
Création d'un formulaire de connexion
Maintenant, créons un formulaire de connexion simple qui utilisera notre client Supabase côté client:
'use client'
import { useState } from 'react'
import { createClient } from '@/lib/supabase/client'
export default function LoginForm() {
const [email, setEmail] = useState('')
const [password, setPassword] = useState('')
const [loading, setLoading] = useState(false)
const [error, setError] = useState(null)
const supabase = createClient()
const handleLogin = async (e) => {
e.preventDefault()
setLoading(true)
setError(null)
try {
const { error } = await supabase.auth.signInWithPassword({
email,
password,
})
if (error) throw error
// Redirection après connexion réussie
window.location.href = '/dashboard'
} catch (error) {
setError(error.message)
} finally {
setLoading(false)
}
}
return (
<form onSubmit={handleLogin} className="space-y-4">
<div>
<label htmlFor="email">Email</label>
<input
id="email"
type="email"
value={email}
onChange={(e) => setEmail(e.target.value)}
required
/>
</div>
<div>
<label htmlFor="password">Mot de passe</label>
<input
id="password"
type="password"
value={password}
onChange={(e) => setPassword(e.target.value)}
required
/>
</div>
{error && <div className="error">{error}</div>}
<button type="submit" disabled={loading}>
{loading ? 'Mise à jour...' : 'Mettre à jour le profil'}
</button>
</form>
)
}Cette approche vous permet de stocker et gérer des informations utilisateur personnalisées tout en les maintenant synchronisées avec le système d'authentification de Supabase.
Implémentation de la vérification par email
La vérification des emails est essentielle pour confirmer l'identité des utilisateurs. Par défaut, Supabase envoie un email de confirmation lors de l'inscription, mais vous devez configurer correctement le processus de confirmation:
- Modification du modèle d'email: Dans le dashboard Supabase, modifiez le modèle d'email de confirmation pour utiliser l'URL suivante:
{{ .SiteURL }}/auth/confirm?token_hash={{ .TokenHash }}&type=email- Création d'une route de confirmation:
// app/auth/confirm/route.js
import { createRouteHandlerClient } from '@supabase/auth-helpers-nextjs'
import { cookies } from 'next/headers'
import { NextResponse } from 'next/server'
export async function GET(request) {
const requestUrl = new URL(request.url)
const token_hash = requestUrl.searchParams.get('token_hash')
const type = requestUrl.searchParams.get('type')
if (token_hash && type) {
const cookieStore = cookies()
const supabase = createRouteHandlerClient({ cookies: () => cookieStore })
const { error } = await supabase.auth.verifyOtp({
token_hash,
type,
})
if (!error) {
return NextResponse.redirect(new URL('/dashboard', request.url))
}
}
// En cas d'erreur ou de paramètres manquants
return NextResponse.redirect(new URL('/auth/error', request.url))
}Cette configuration garantit que les utilisateurs peuvent confirmer leur email et finaliser leur inscription.
Optimisation des performances
Mise en cache des sessions
Pour améliorer les performances de votre application, vous pouvez mettre en cache les sessions utilisateur:
// lib/supabase/server-with-cache.js
import { createServerClient } from '@supabase/ssr'
import { cookies } from 'next/headers'
// Map pour stocker en cache les sessions par ID d'utilisateur
const userSessionCache = new Map()
export async function createClient() {
const cookieStore = cookies()
const supabase = createServerClient(
process.env.NEXT_PUBLIC_SUPABASE_URL,
process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY,
{
cookies: {
get: (name) => cookieStore.get(name)?.value,
set: (name, value, options) => {
try {
cookieStore.set({ name, value, ...options })
} catch (error) {
// Les cookies ne peuvent pas être modifiés dans un composant Server
}
},
remove: (name, options) => {
try {
cookieStore.set({ name, value: '', ...options })
} catch (error) {
// Les cookies ne peuvent pas être modifiés dans un composant Server
}
},
},
}
)
return supabase
}
export async function getUserWithCache() {
const supabase = await createClient()
const { data: { session } } = await supabase.auth.getSession()
if (!session) return { user: null }
const userId = session.user.id
// Vérifier si l'utilisateur est déjà en cache
if (userSessionCache.has(userId)) {
const cachedUser = userSessionCache.get(userId)
const cacheTime = cachedUser.timestamp
// Vérifier si le cache est encore valide (moins de 5 minutes)
if (Date.now() - cacheTime < 5 * 60 * 1000) {
return { user: cachedUser.user }
}
}
// Si non en cache ou cache expiré, récupérer l'utilisateur
const { data: { user }, error } = await supabase.auth.getUser()
if (error || !user) {
return { user: null, error }
}
// Mettre en cache l'utilisateur avec un timestamp
userSessionCache.set(userId, {
user,
timestamp: Date.now()
})
return { user }
}Pré-chargement des données utilisateur
Pour améliorer davantage l'expérience utilisateur, vous pouvez pré-charger les données des utilisateurs dès qu'ils se connectent:
// app/components/AuthProvider.jsx
'use client'
import { createContext, useContext, useEffect, useState } from 'react'
import { createClient } from '@/lib/supabase/client'
const AuthContext = createContext()
export function AuthProvider({ children }) {
const [user, setUser] = useState(null)
const [profile, setProfile] = useState(null)
const [loading, setLoading] = useState(true)
const supabase = createClient()
useEffect(() => {
const fetchUserAndProfile = async () => {
setLoading(true)
// Récupérer la session et l'utilisateur
const { data: { user } } = await supabase.auth.getUser()
setUser(user)
if (user) {
// Pré-charger le profil utilisateur
const { data } = await supabase
.from('profiles')
.select('*')
.eq('id', user.id)
.single()
setProfile(data)
}
setLoading(false)
}
fetchUserAndProfile()
// Écouter les changements d'authentification
const { data: { subscription } } = supabase.auth.onAuthStateChange(
async (event, session) => {
setUser(session?.user || null)
if (session?.user) {
const { data } = await supabase
.from('profiles')
.select('*')
.eq('id', session.user.id)
.single()
setProfile(data)
} else {
setProfile(null)
}
setLoading(false)
}
)
return () => subscription.unsubscribe()
}, [])
return (
<AuthContext.Provider value={{ user, profile, loading }}>
{children}
</AuthContext.Provider>
)
}
export function useAuth() {
return useContext(AuthContext)
}Cette approche permet de charger les données utilisateur une seule fois et de les mettre à disposition dans toute l'application via un contexte.
Tests et débogage
Tests d'authentification
Tester votre système d'authentification est crucial pour assurer son bon fonctionnement. Voici comment vous pouvez mettre en place des tests pour l'authentification Supabase avec Next.js:
- Mise en place de l'environnement de test:
// tests/auth.test.js
import { createClient } from '@supabase/supabase-js'
import { expect, test, beforeAll, afterAll } from 'vitest'
// Créer un client Supabase de test
const supabase = createClient(
process.env.NEXT_PUBLIC_SUPABASE_URL,
process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY
)
// Email et mot de passe de test
const testEmail = `test-${Math.random().toString(36).substring(2, 11)}@example.com`
const testPassword = 'TestPassword123!'
let userId
beforeAll(async () => {
// Créer un utilisateur de test
const { data, error } = await supabase.auth.signUp({
email: testEmail,
password: testPassword,
})
if (error) throw error
userId = data.user.id
// Confirmer l'utilisateur (nécessite de désactiver la confirmation par email dans le dashboard Supabase pour les tests)
const adminClient = createClient(
process.env.SUPABASE_URL,
process.env.SUPABASE_SERVICE_ROLE_KEY
)
await adminClient.auth.admin.updateUserById(userId, {
email_confirm: true,
})
})
test('Authentification: Connexion et vérification de session', async () => {
// Test de connexion
const { data: signInData, error: signInError } = await supabase.auth.signInWithPassword({
email: testEmail,
password: testPassword,
})
expect(signInError).toBeNull()
expect(signInData.user).not.toBeNull()
expect(signInData.session).not.toBeNull()
// Test de récupération de l'utilisateur
const { data: userData, error: userError } = await supabase.auth.getUser()
expect(userError).toBeNull()
expect(userData.user).not.toBeNull()
expect(userData.user.id).toBe(userId)
// Test de déconnexion
const { error: signOutError } = await supabase.auth.signOut()
expect(signOutError).toBeNull()
// Vérifier que l'utilisateur est bien déconnecté
const { data: sessionData } = await supabase.auth.getSession()
expect(sessionData.session).toBeNull()
})
afterAll(async () => {
// Nettoyer: supprimer l'utilisateur de test
const adminClient = createClient(
process.env.SUPABASE_URL,
process.env.SUPABASE_SERVICE_ROLE_KEY
)
await adminClient.auth.admin.deleteUser(userId)
})Débogage des problèmes d'authentification
Voici quelques techniques pour déboguer efficacement votre système d'authentification:
- Inspectez les cookies: Utilisez les outils de développement du navigateur pour inspecter les cookies liés à Supabase.
- Activez les logs côté client:
// lib/supabase/client-debug.js
import { createBrowserClient } from '@supabase/ssr'
export function createClient() {
const client = createBrowserClient(
process.env.NEXT_PUBLIC_SUPABASE_URL,
process.env.NEXT_PUBLIC_SUPABASE_ANON_KEY
)
// Activer les logs en développement
if (process.env.NODE_ENV === 'development') {
client.auth.onAuthStateChange((event, session) => {
console.log('Auth event:', event)
console.log('Session:', session)
})
}
return client
}- Créez une page de statut d'authentification:
// app/auth-debug/page.jsx
'use client'
import { useEffect, useState } from 'react'
import { createClient } from '@/lib/supabase/client'
export default function AuthDebugPage() {
const [session, setSession] = useState(null)
const [user, setUser] = useState(null)
const [error, setError] = useState(null)
const [loading, setLoading] = useState(true)
const supabase = createClient()
useEffect(() => {
async function checkAuth() {
try {
setLoading(true)
// Vérifier la session
const { data: sessionData, error: sessionError } = await supabase.auth.getSession()
if (sessionError) {
throw sessionError
}
setSession(sessionData.session)
// Vérifier l'utilisateur
const { data: userData, error: userError } = await supabase.auth.getUser()
if (userError) {
throw userError
}
setUser(userData.user)
} catch (err) {
console.error('Erreur d\'authentification:', err)
setError(err.message)
} finally {
setLoading(false)
}
}
checkAuth()
}, [])
if (loading) {
return <div>Chargement des informations d'authentification...</div>
}
return (
<div className="auth-debug">
<h1>Débogage d'authentification</h1>
<div className="card">
<h2>État de la session</h2>
<pre>{JSON.stringify(session, null, 2)}</pre>
</div>
<div className="card">
<h2>Informations utilisateur</h2>
<pre>{JSON.stringify(user, null, 2)}</pre>
</div>
{error && (
<div className="card error">
<h2>Erreur</h2>
<p>{error}</p>
</div>
)}
<style jsx>{`
.auth-debug {
padding: 20px;
}
.card {
background: #f5f5f5;
padding: 15px;
border-radius: 5px;
margin-bottom: 20px;
}
.error {
background: #ffe6e6;
}
pre {
overflow-x: auto;
white-space: pre-wrap;
word-wrap: break-word;
}
`}</style>
</div>
)
}Cette page vous aidera à diagnostiquer rapidement les problèmes d'authentification en affichant toutes les informations pertinentes.
Cas d'utilisation avancés
Authentification multi-facteur (MFA)
L'authentification multi-facteur ajoute une couche de sécurité supplémentaire en demandant aux utilisateurs de vérifier leur identité via plusieurs méthodes. Voici comment l'implémenter avec Supabase:
- Activation de MFA dans Supabase: Dans votre dashboard Supabase, accédez à Authentication > Configuration et activez l'authentification multi-facteur.
- Implémentation côté client:
'use client'
import { useState, useEffect } from 'react'
import { createClient } from '@/lib/supabase/client'
import QRCode from 'qrcode.react'
export default function MFASetup() {
const [factors, setFactors] = useState([])
const [qrCode, setQrCode] = useState(null)
const [verificationCode, setVerificationCode] = useState('')
const [loading, setLoading] = useState(true)
const [error, setError] = useState(null)
const [message, setMessage] = useState(null)
const supabase = createClient()
useEffect(() => {
async function loadMFAStatus() {
try {
setLoading(true)
// Récupérer les facteurs MFA existants
const { data, error } = await supabase.auth.mfa.listFactors()
if (error) throw error
setFactors(data.totp || [])
} catch (err) {
setError(err.message)
} finally {
setLoading(false)
}
}
loadMFAStatus()
}, [])
async function setupMFA() {
try {
setLoading(true)
setError(null)
// Générer un nouveau secret TOTP
const { data, error } = await supabase.auth.mfa.enroll({
factorType: 'totp',
})
if (error) throw error
setQrCode(data.totp.qr_code)
} catch (err) {
setError(err.message)
} finally {
setLoading(false)
}
}
async function verifyMFA() {
try {
setLoading(true)
setError(null)
// Vérifier le code TOTP
const { data, error } = await supabase.auth.mfa.challenge({
factorId: factors[0]?.id,
code: verificationCode,
})
if (error) throw error
setMessage('MFA activé avec succès!')
setQrCode(null)
} catch (err) {
setError(err.message)
} finally {
setLoading(false)
}
}
if (loading) {
return <div>Chargement...</div>
}
return (
<div className="mfa-setup">
<h1>Configuration de l'authentification multi-facteur</h1>
{factors.length > 0 ? (
<div>
<p>MFA est déjà configuré pour votre compte.</p>
</div>
) : (
<div>
{qrCode ? (
<div>
<p>Scannez ce QR code avec votre application d'authentification:</p>
<QRCode value={qrCode} size={256} />
<div className="mt-4">
<label htmlFor="verification-code">
Code de vérification:
</label>
<input
id="verification-code"
type="text"
value={verificationCode}
onChange={(e) => setVerificationCode(e.target.value)}
placeholder="Entrez le code de votre application"
/>
<button onClick={verifyMFA} disabled={loading}>
Vérifier et activer
</button>
</div>
</div>
) : (
<button onClick={setupMFA} disabled={loading}>
Configurer l'authentification multi-facteur
</button>
)}
</div>
)}
{error && <div className="error">{error}</div>}
{message && <div className="success">{message}</div>}
</div>
)
}Gestion des rôles et des permissions
Pour créer un système d'autorisation basé sur les rôles, vous pouvez implémenter une structure comme celle-ci:
- Création d'une table de rôles:
CREATE TABLE roles (
id SERIAL PRIMARY KEY,
name VARCHAR(255) NOT NULL UNIQUE,
created_at TIMESTAMP WITH TIME ZONE DEFAULT TIMEZONE('utc', NOW())
);
-- Insertion des rôles de base
INSERT INTO roles (name) VALUES ('admin');
INSERT INTO roles (name) VALUES ('editor');
INSERT INTO roles (name) VALUES ('user');
-- Table de liaison entre utilisateurs et rôles
CREATE TABLE user_roles (
id SERIAL PRIMARY KEY,
user_id UUID REFERENCES auth.users(id) ON DELETE CASCADE,
role_id INTEGER REFERENCES roles(id) ON DELETE CASCADE,
created_at TIMESTAMP WITH TIME ZONE DEFAULT TIMEZONE('utc', NOW()),
UNIQUE(user_id, role_id)
);
-- Par défaut, les nouveaux utilisateurs ont le rôle 'user'
CREATE OR REPLACE FUNCTION public.handle_new_user_role()
RETURNS TRIGGER AS $
DECLARE
default_role_id INTEGER;
BEGIN
-- Récupérer l'ID du rôle 'user'
SELECT id INTO default_role_id FROM roles WHERE name = 'user';
-- Assigner le rôle par défaut
INSERT INTO user_roles (user_id, role_id)
VALUES (NEW.id, default_role_id);
RETURN NEW;
END;
$ LANGUAGE plpgsql SECURITY DEFINER;
CREATE TRIGGER on_auth_user_created_set_role
AFTER INSERT ON auth.users
FOR EACH ROW EXECUTE FUNCTION public.handle_new_user_role();- Vérification des rôles dans l'application:
// lib/auth/checkUserRole.js
import { createClient } from '@/lib/supabase/server'
export async function checkUserRole(userId, requiredRole) {
const supabase = await createClient()
// Récupérer les rôles de l'utilisateur
const { data, error } = await supabase
.from('user_roles')
.select(`
roles (
name
)
`)
.eq('user_id', userId)
if (error || !data) {
return false
}
// Vérifier si l'utilisateur a le rôle requis
return data.some(userRole => userRole.roles.name === requiredRole)
}
// Middleware pour protéger les routes en fonction du rôle
export async function withRoleProtection(handler, requiredRole) {
return async (req, res) => {
const supabase = createServerSupabaseClient({ req, res })
const { data: { user } } = await supabase.auth.getUser()
if (!user) {
return res.status(401).json({
error: 'Non authentifié',
})
}
const hasRole = await checkUserRole(user.id, requiredRole)
if (!hasRole) {
return res.status(403).json({
error: 'Accès refusé',
})
}
return handler(req, res)
}
}- Utilisation dans les composants:
'use client'
import { useEffect, useState } from 'react'
import { createClient } from '@/lib/supabase/client'
export function useUserRoles() {
const [roles, setRoles] = useState([])
const [loading, setLoading] = useState(true)
const supabase = createClient()
useEffect(() => {
async function loadUserRoles() {
setLoading(true)
const { data: { user } } = await supabase.auth.getUser()
if (user) {
const { data } = await supabase
.from('user_roles')
.select(`
roles (
name
)
`)
.eq('user_id', user.id)
if (data) {
setRoles(data.map(userRole => userRole.roles.name))
}
}
setLoading(false)
}
loadUserRoles()
}, [])
return { roles, hasRole: roleName => roles.includes(roleName), loading }
}
// Exemple d'utilisation
export default function AdminDashboard() {
const { roles, hasRole, loading } = useUserRoles()
if (loading) {
return <div>Chargement...</div>
}
if (!hasRole('admin')) {
return <div>Accès refusé. Vous devez être administrateur pour voir cette page.</div>
}
return (
<div>
<h1>Tableau de bord administrateur</h1>
{/* Contenu réservé aux administrateurs */}
</div>
)
}Ce système de rôles et permissions vous permet d'implémenter une autorisation fine et adaptable à vos besoins.
Conclusion
Dans cet article complet, nous avons exploré en profondeur l'implémentation de l'authentification entre Supabase et Next.js. Nous avons couvert tous les aspects essentiels, des configurations de base aux cas d'utilisation avancés, en passant par les meilleures pratiques de sécurité.
L'authentification est un élément critique de toute application moderne, et la combinaison de Supabase et Next.js offre une solution robuste, sécurisée et flexible pour gérer l'identité des utilisateurs. Grâce à Supabase, vous bénéficiez d'une infrastructure d'authentification prête à l'emploi, tandis que Next.js vous permet d'intégrer cette fonctionnalité de manière performante et sécurisée dans votre application.
En suivant les pratiques recommandées dans cet article, vous pouvez créer un système d'authentification qui non seulement protège les données de vos utilisateurs, mais offre également une expérience utilisateur fluide et agréable. N'oubliez pas que la sécurité est un domaine en constante évolution, alors restez informé des dernières tendances et mises à jour pour maintenir votre système d'authentification à jour.
Que vous construisiez une application professionnelle ou un projet personnel, l'authentification Supabase avec Next.js vous fournit les outils nécessaires pour créer une solution d'authentification moderne et efficace.
Prochaines étapes
Maintenant que vous avez mis en place un système d'authentification robuste, voici quelques pistes à explorer pour aller plus loin:
- Internationalisation: Adaptez votre système d'authentification pour prendre en charge plusieurs langues.
- Analytics: Implémentez des analyses pour suivre les métriques d'authentification comme les taux de conversion et les échecs de connexion.
- Intégration avec d'autres services: Explorez l'intégration avec des services comme Stripe pour les abonnements ou d'autres API tierces.
N'hésitez pas à consulter la documentation officielle de Supabase et Next.js pour les dernières mises à jour et fonctionnalités.