从2026年5月起，主要公共证书颁发机构将停止在TLS证书中包含客户端身份验证扩展密钥用法（EKU），这将影响依赖相互TLS（mTLS）的Apache项目，如Kafka和Cassandra。证书续订后将不再包含clientAuth EKU，导致连接中断。用户需转向内部或企业CA获取客户端证书，所有使用公共CA颁发证书的mTLS部署需尽快规划应对措施。

本文介绍了在Next.js应用中使用Payload CMS进行客户端身份验证的过程。由于服务器操作存在cookie处理和响应头问题，最终选择了客户端方法。客户端身份验证更可靠，浏览器自动管理cookie，简化了状态管理。通过中间件保护路由，确保安全性，并在页面级别进行严格验证，以防止未授权访问。