Autenticazione in React

Introduzione

L’autenticazione permette di proteggere risorse e route, garantendo che solo utenti autorizzati possano accedervi. In applicazioni React, l’autenticazione token-based è un approccio comune: il backend genera un token dopo la validazione delle credenziali, e il frontend lo memorizza e lo invia con le richieste successive. Questo articolo esplora come funziona l’autenticazione token-based, come implementarla in React e come gestire la persistenza e la scadenza dei token.

Come Funziona l’Autenticazione Token-Based

L’autenticazione token-based funziona in tre fasi: invio delle credenziali, ricezione del token e utilizzo del token per richieste successive.

Flusso di Autenticazione

Invio credenziali: il client invia email e password al backend
Validazione: il backend valida le credenziali
Generazione token: se valide, il backend genera un token (es. JWT) firmato con una chiave privata
Storage token: il client memorizza il token (tipicamente in localStorage)
Utilizzo token: il client invia il token con le richieste successive tramite header Authorization

Il token è una stringa che contiene informazioni firmate dal backend. Solo il backend può validare il token perché conosce la chiave privata usata per crearlo.

Token vs Server-Side Sessions

Le server-side sessions memorizzano l’identificatore della sessione sul server e lo mappano al client. Richiedono un accoppiamento stretto tra frontend e backend.

I token sono autosufficienti: il backend li crea ma non li memorizza. La validità viene verificata controllando la firma. Questo approccio è ideale per applicazioni con frontend e backend disaccoppiati.

Implementazione Base

Per gestire signup e login, si crea un’action che invia le credenziali al backend:

1
import { redirect } from 'react-router-dom';
2

3
export async function action({ request }) {
4
  const searchParams = new URL(request.url).searchParams;
5
  const mode = searchParams.get('mode') || 'login';
6

7
  const data = await request.formData();
8
  const authData = {
9
    email: data.get('email'),
10
    password: data.get('password')
11
  };
12

13
  const response = await fetch(`http://localhost:8080/${mode}`, {
14
    method: 'POST',
15
    headers: {
16
      'Content-Type': 'application/json'
17
    },
18
    body: JSON.stringify(authData)
19
  });
20

21
  if (response.status === 422 || response.status === 401) {
22
    return response; // Ritorna errori di validazione
23
  }
24

25
  if (!response.ok) {
26
    throw new Response(
27
      JSON.stringify({ message: 'Could not authenticate user.' }),
28
      { status: 500 }
29
    );
30
  }
31

32
  const resData = await response.json();
33
  const token = resData.token;
34

35
  // Memorizza il token
36
  localStorage.setItem('token', token);
37

38
  // Memorizza la scadenza (1 ora)
39
  const expiration = new Date();
40
  expiration.setHours(expiration.getHours() + 1);
41
  localStorage.setItem('expiration', expiration.toISOString());
42

43
  return redirect('/');
44
}

L’action viene registrata nella route:

1
import { authAction } from './pages/Authentication';
2

3
const router = createBrowserRouter([
4
  {
5
    path: '/auth',
6
    element: <AuthenticationPage />,
7
    action: authAction
8
  }
9
]);

Query Parameters per Switch Modalità

Per switchare tra login e signup nella stessa route, si usano query parameters:

1
import { useSearchParams, Link } from 'react-router-dom';
2

3
function AuthForm() {
4
  const [searchParams] = useSearchParams();
5
  const isLogin = searchParams.get('mode') === 'login';
6

7
  return (
8
    <>
9
      <h1>{isLogin ? 'Log in' : 'Create new user'}</h1>
10
      <Form method="post">
11
        <input type="email" name="email" required />
12
        <input type="password" name="password" required />
13
        <button>Save</button>
14
      </Form>
15
      <Link to={`?mode=${isLogin ? 'signup' : 'login'}`}>
16
        {isLogin ? 'Create new user' : 'Log in'}
17
      </Link>
18
    </>
19
  );
20
}

useSearchParams restituisce un array: il primo elemento è un oggetto per leggere i parametri, il secondo una funzione per aggiornarli.

Gestione Errori

Per mostrare errori di validazione nel form:

1
import { useActionData, useNavigation } from 'react-router-dom';
2

3
function AuthForm() {
4
  const data = useActionData();
5
  const navigation = useNavigation();
6
  const isSubmitting = navigation.state === 'submitting';
7

8
  return (
9
    <>
10
      {data && data.errors && (
11
        <ul>
12
          {Object.values(data.errors).map(err => (
13
            <li key={err}>{err}</li>
14
          ))}
15
        </ul>
16
      )}
17
      {data && data.message && <p>{data.message}</p>}
18
      <Form method="post">
19
        {/* ... campi form */}
20
        <button disabled={isSubmitting}>
21
          {isSubmitting ? 'Submitting...' : 'Save'}
22
        </button>
23
      </Form>
24
    </>
25
  );
26
}

Utilizzo del Token

Estrazione e Utilizzo

Per utilizzare il token nelle richieste, si crea una funzione helper:

1
export function getAuthToken() {
2
  const token = localStorage.getItem('token');
3

4
  if (!token) {
5
    return null;
6
  }
7

8
  const tokenDuration = getTokenDuration();
9

10
  if (tokenDuration < 0) {
11
    return 'EXPIRED';
12
  }
13

14
  return token;
15
}
16

17
function getTokenDuration() {
18
  const storedExpirationDate = localStorage.getItem('expiration');
19

20
  if (!storedExpirationDate) {
21
    return 0;
22
  }
23

24
  const expiration = new Date(storedExpirationDate);
25
  const now = new Date();
26
  const duration = expiration.getTime() - now.getTime();
27

28
  return duration;
29
}

Attaccare Token alle Richieste

Per attaccare il token alle richieste protette:

1
import { getAuthToken } from '../util/auth';
2

3
export async function action({ request, params }) {
4
  const token = getAuthToken();
5

6
  const response = await fetch(`http://localhost:8080/events/${params.eventId}`, {
7
    method: 'DELETE',
8
    headers: {
9
      'Authorization': `Bearer ${token}`
10
    }
11
  });
12

13
  if (!response.ok) {
14
    throw new Response(
15
      JSON.stringify({ message: 'Could not delete event.' }),
16
      { status: 500 }
17
    );
18
  }
19

20
  return redirect('/events');
21
}

Il formato Bearer <token> è uno standard comune per l’header Authorization.

Protezione Route

Per proteggere route che richiedono autenticazione, si crea un loader che verifica il token:

1
import { redirect } from 'react-router-dom';
2

3
export function checkAuthLoader() {
4
  const token = getAuthToken();
5

6
  if (!token || token === 'EXPIRED') {
7
    return redirect('/auth');
8
  }
9

10
  return null;
11
}

Il loader viene aggiunto alle route protette:

1
import { checkAuthLoader } from './util/auth';
2

3
const router = createBrowserRouter([
4
  {
5
    path: '/events/new',
6
    element: <NewEventPage />,
7
    loader: checkAuthLoader,
8
    action: newEventAction
9
  },
10
  {
11
    path: '/events/:eventId/edit',
12
    element: <EditEventPage />,
13
    loader: checkAuthLoader,
14
    action: editEventAction
15
  }
16
]);

Se l’utente non è autenticato, viene reindirizzato alla pagina di login.

Aggiornamento UI Basato su Auth Status

Per aggiornare l’UI in base allo stato di autenticazione, si usa un loader sulla root route:

1
export function tokenLoader() {
2
  return getAuthToken();
3
}

Il loader viene registrato sulla root route:

1
import { tokenLoader } from './util/auth';
2

3
const router = createBrowserRouter([
4
  {
5
    id: 'root',
6
    path: '/',
7
    loader: tokenLoader,
8
    element: <RootLayout />,
9
    children: [
10
      // ... altre route
11
    ]
12
  }
13
]);

Nei componenti, si accede al token con useRouteLoaderData:

1
import { useRouteLoaderData } from 'react-router-dom';
2

3
function MainNavigation() {
4
  const token = useRouteLoaderData('root');
5

6
  return (
7
    <nav>
8
      {!token && (
9
        <NavLink to="/auth">Authentication</NavLink>
10
      )}
11
      {token && (
12
        <Form action="/logout" method="post">
13
          <button>Logout</button>
14
        </Form>
15
      )}
16
    </nav>
17
  );
18
}

Il loader viene rieseguito automaticamente quando si naviga o si inviano form, garantendo che l’UI rifletta sempre lo stato corrente.

Logout

Per implementare il logout, si crea un’action che rimuove il token:

1
import { redirect } from 'react-router-dom';
2

3
export function action() {
4
  localStorage.removeItem('token');
5
  localStorage.removeItem('expiration');
6
  return redirect('/');
7
}

L’action viene registrata in una route senza elemento:

1
import { logoutAction } from './pages/Logout';
2

3
const router = createBrowserRouter([
4
  {
5
    path: '/logout',
6
    action: logoutAction
7
  }
8
]);

Nel componente di navigazione, si usa un form per triggerare il logout:

1
import { Form } from 'react-router-dom';
2

3
function MainNavigation() {
4
  return (
5
    <nav>
6
      <Form action="/logout" method="post">
7
        <button>Logout</button>
8
      </Form>
9
    </nav>
10
  );
11
}

Auto-Logout dopo Scadenza

Per implementare l’auto-logout quando il token scade, si usa useEffect nel root layout:

1
import { useEffect } from 'react';
2
import { useLoaderData, useSubmit } from 'react-router-dom';
3
import { getTokenDuration } from '../util/auth';
4

5
function RootLayout() {
6
  const token = useLoaderData();
7
  const submit = useSubmit();
8

9
  useEffect(() => {
10
    if (!token || token === 'EXPIRED') {
11
      return;
12
    }
13

14
    const tokenDuration = getTokenDuration();
15

16
    setTimeout(() => {
17
      submit(null, { action: '/logout', method: 'post' });
18
    }, tokenDuration);
19
  }, [token, submit]);
20

21
  return <Outlet />;
22
}

Il timer viene impostato sulla durata rimanente del token, non su un valore fisso. Quando il timer scade, viene triggerato il logout.

Gestione scadenza token

Quando si memorizza il token, si memorizza anche la data di scadenza:

1
// Nel loader/action di autenticazione
2
const expiration = new Date();
3
expiration.setHours(expiration.getHours() + 1);
4
localStorage.setItem('expiration', expiration.toISOString());

Quando si verifica il token, si controlla anche la scadenza:

1
function getTokenDuration() {
2
  const storedExpirationDate = localStorage.getItem('expiration');
3

4
  if (!storedExpirationDate) {
5
    return 0;
6
  }
7

8
  const expiration = new Date(storedExpirationDate);
9
  const now = new Date();
10
  const duration = expiration.getTime() - now.getTime();
11

12
  return duration; // Positivo se valido, negativo se scaduto
13
}

Se il token è scaduto, getAuthToken ritorna 'EXPIRED', che viene trattato come “non autenticato”.

Riepilogo

L’autenticazione token-based funziona inviando credenziali al backend, ricevendo un token firmato, memorizzandolo lato client e inviandolo con le richieste successive tramite l’header Authorization.

Il token viene memorizzato in localStorage insieme alla data di scadenza. Le funzioni helper (getAuthToken, getTokenDuration) gestiscono l’estrazione e la validazione del token.

Le route protette utilizzano un loader (checkAuthLoader) che verifica il token e reindirizza alla login se mancante o scaduto. L’UI si aggiorna automaticamente usando un loader sulla root route che espone il token a tutti i componenti.

Il logout rimuove il token da localStorage e triggera un redirect. L’auto-logout viene implementato con useEffect che imposta un timer basato sulla durata rimanente del token.

I query parameters permettono di switchare tra modalità (login/signup) nella stessa route. Gli errori di autenticazione vengono gestiti ritornando la response invece di fare throw, permettendo di mostrare messaggi di errore nel form.