Nestjs 自定义注解实现接口权限控制

最新推荐文章于 2025-10-22 17:12:10 发布
原创 最新推荐文章于 2025-10-22 17:12:10 发布 · 975 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #java #javascript

本文介绍了如何在 Nestjs 中实现基于角色的 RBAC 权限控制,包括定义角色枚举、创建自定义注解、实现角色守卫、引入守卫到模块以及在接口上使用注解进行权限校验。通过这些步骤,可以优雅地实现接口的权限管理,降低业务逻辑的侵入性。

当业务接口开发完成之后,正式上线之前还需要对每个接口进行权限控制。比如删除用户只能管理员角色操作,查询全部用户只有管理员有权限等。对接口实现权限控制有很多种方案,最简单的实现是在每个接口的 controller 层进行判断,但这样不优雅,冗余代码多,且对业务侵入比较强。合理的权限控制方案应该是跟业务逻辑松耦合。Nest 官方文档为我们提供了几种权限控制方式,我们来实现最基础的基于角色的 RBAC(Role-based access control) 控制方案。实现 RBAC 权限控制一共需要五步:

1.定义角色的枚举类 Role
2.声明自定义注解(装饰器)roles.decorators.ts
3.实现角色守卫 RolesGuard
4.在 app.module.ts 的 providers 中引入 RolesGuard
5.在需要的接口上添加注解:@Roles(Role.Admin, Role.SuperAdmin)�

定义角色枚举

梳理好系统中一共有多少种角色,并为每种角色确定好 Code,然后声明为枚举类型。这里的角色类型可以自定义,根据业务需要设多少都行。

export enum Role {SuperAdmin = 'SuperAdmin',Admin = 'Admin',Normal = 'Normal',Guest = 'Guest',
}

声明自定义注册(装饰器)

新建一个 roles.decorator.ts文件,就可以在 Controller 中使用 @Roles注解了

import { SetMetadata } from '@nestjs/common';
import { Role } from '@constants';

export const ROLES_KEY = 'roles';
export const Roles = (...roles: Role[]) => SetMetadata(ROLES_KEY, roles);

实现角色守卫 RolesGuard

新建 roles.gurad.ts文件,它的作用是告诉 nest 什么情况下请求应该被拦截,什么情况下请求应该被通过。通过 reflector可以拿到注解中传入的角色 code 列表,通过 context.switchToHttp().getRequest()可以拿到 request 对象。因为我们使用了 jwt,在 JwtStrategy�中往 user 对象中写入了当前登录用户的角色信息,所以可以通过从 request 中取 user 的方式得到角色列表。这块具体的获取方式根据你的业务而定,业务中把角色信息放在了什么地方,就从哪里取。拿到注解中传入的角色,和用户已有的角色进行对比,如果用户角色中包含需要的角色,则返回 true,如果返回 false,则会抛出默认的异常如下:

{"statusCode": 403,"message": "Forbidden resource","error": "Forbidden"
}

我们需要定制错误信息,以使整个系统保持一致,则抛出一个自定义异常,这个异常按照统一规定的格式返回错误信息。

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Reflector } from '@nestjs/core';
import { ROLES_KEY } from '../decorators/roles.decorator';
import { Role } from '@constants';
import { InternalErrorException } from '../../exception/InternalErrorException';
import { errorResult } from '@utils';
import { ErrorCodes } from '@constants/errorCode';

@Injectable()
export class RolesGuard implements CanActivate {constructor(private reflector: Reflector) {}canActivate(context: ExecutionContext): boolean {const requiredRoles = this.reflector.getAllAndOverride<Role[]>(ROLES_KEY, [context.getHandler(),context.getClass(),]);if (!requiredRoles) {return true;}const { user } = context.switchToHttp().getRequest();const roleCodes = user.roles?.map((item) => item.code);const flag = requiredRoles.some((role) => roleCodes?.includes(role));if (!flag) {throw new InternalErrorException(errorResult(ErrorCodes.NoAuth));}return flag;}
}

在 providers 中引入 RolesGuard

如果想在全局使用自定义注解,就在 app.module.ts中全局引入。如果仅想在某个 controller 中使用,则在这个 controller 层级的 module 中声明。

providers: [{provide: APP_GUARD,useClass: RolesGuard,},
],

使用注解

在接口上使用自定义注解实现权限校验。括号里可以写一个权限,也可以写多个,因为我们 roles.decorator.ts中写的参数类型为 Role[]

 @Get()@Roles(Role.Admin, Role.SuperAdmin)async findAll() {const users = await this.userService.findAll();return successResult(users);}

至此,使用自定义注册实现接口权限控制就完成啦。

最后

最近还整理一份JavaScript与ES的笔记,一共25个重要的知识点,对每个知识点都进行了讲解和分析。能帮你快速掌握JavaScript与ES的相关知识,提升工作效率。



有需要的小伙伴,可以点击下方卡片领取,无偿分享

姑老爷呀
关注
nest中的注解
m0_47999208的博客
07-16 409
这是一个类装饰器,用于定义Mongoose模式的结构。它允许你指定模式的元数据,比如集合名、版本键、时间戳等。:这是一个装饰器,用于在模式类中定义文档的各个属性。你可以使用它来指定字段的数据类型、是否必填、默认值等属性。创建的,可以被NestJS模块使用,以便在你的应用程序中执行CRUD操作和其他数据库相关的任务。:这是一个工具函数,用于从定义的模式类中创建实际的Mongoose模式对象。是一个Mongoose模式对象,它是由。方法从一个类定义中创建模式。装饰器来定义字段的属性。类是一个模式类,它使用。
NestJS jwt实现token验证,并使用自定义Guard来使无需专门每个接口配置Guard鉴权
baidu_39340547的博客
04-24 6718
nestJs实现jwt鉴权,全局定义guard使无需每个接口设置鉴权注解
【实践】NestJS + MikroORM 角色权限控制系统设计
最新发布
weixin_53931211的博客
10-22 412
采用 RBAC(Role-Based Access Control)模型,实现用户与角色的关联,并通过角色控制访问权限。根据当前请求的控制器和方法名,判断用户是否拥有访问权限。通过 Passport JWT 策略实现用户认证,并在。方法中加载角色信息。
NestJS应用从0到1】5. 处理管理员角色
gaotlantis的博客
06-19 652
就像最前面说的,你有若干种区分用户角色的办法,你可以选择你适合的,只要能来判断用户角色即可。其实角色可以很简单也可以很复杂,这些都没有特定的规范,如果你对角色权限内容有自定义的要求,你可能还要引入一个permission表,来存储某个角色具体拥有哪些权限。角色装饰器:为了在具体的controller / module / method 上来定义角色。角色守卫:通过判断是否使用角色装饰器设置了角色,以及判断当前用户是否拥有角色。
实现nest的自定义注解
CRMEB小程序商城的博客
02-18 760
前言 Nest 与 class-validator 配合得很好,它允许我们使用基于装饰器的验证,在dto层中我们可以通过它的一些内置注解完成对参数的一些常用校验。 但是,当我们在写业务代码时,内置注解往往不能满足我们,此时我们为了代码的一致性,就需要根据需求自定义一个注解出来,本文将带着大家一起实现一个注解,欢迎各位感兴趣的开发者阅读本文。 场景概述 客户端传入一个不符合规范的json字符串,我们需要对其进行截取后,再转成json对象进行下一步的校验,客户端传入的字符串如下所示: var config =
Nest.js自定义注入
weixin_63443072的博客
04-06 164
【代码】Nest.js自定义注入。
Nestjs RBAC 权限控制管理实践(一)
weixin_33894640的博客
04-17 3469
目前由于在做 Nodejs 构架的迁移, 把原有的 typerx 的后端项目迁移到 NestJS 框架上来, 做到权限管理部分, 特和大家分享下。 项目地址: typerx nestx NestJs 官方角色控制介绍 因为这篇文章主要是对权限管理部分对介绍, 所以暂定已经有了用户身份知识的了解, 若想了解用户登录相关内容, 请参阅其他相关文档。 Guards Guards 是一个注解式的守卫,...
2024 Nestjs入门到实战
null
10-13 2334
文章目录前提-安装环境介绍 (了解即可)安装nestjs, 创建新项目, 启动新项目nestcli命令 (建议熟练掌握, 可提高开发效率)IoC(控制反转)和DI(依赖注入)概念详解IoC(控制反转)DI(依赖注入)两种思想的概念示例代码总结在nestjs中的三种依赖注入方式为什么 Controller 是单独的装饰器?@Module机制装饰器概念四种装饰器在ts中自定义装饰器类装饰器属性装饰器方法装饰器参数装饰器示例代码nestjs控制器和参数获取nest-provider基本用法Provider自定义
nest-admin: 基于NestJS和TypeORM的RBAC权限管理系统
- 项目结构:nest-admin的项目结构遵循典型的NestJS项目结构,其中包括构建相关的源代码目录(src)和公共代码目录(commin),其中包含了自定义装饰器、工具类以及接口定义等。 - 模块划分:通过结构化模块,比如...
nestjs-cognito-example
05-02
NestJS+Cognito示例】是一个使用NestJS框架和Amazon Cognito服务构建的应用程序示例。NestJS是一个基于 TypeScript 的渐进式 Node.js 框架,用于构建高效、可扩展的服务器端应用。Cognito是亚马逊Web服务(AWS)...
js 注解
TE杨
10-16 1488
临时记
nest-access-control:Nestjs的基于角色和属性的访问控制
02-06
巢式访问控制 用于为Nestjs构建基于角色和属性的访问控制系统的帮助程序模块 TL; DR:最近,我们的系统需要一个控制面板,因此您可以从那里控制和监视所有事物,实际上确实需要一些基于角色的访问控制系统,因此我为此构建了此模块,真的很酷,所以我很乐意与您分享,欢迎任何PR :red_heart_selector: 该模块建立在库之上,这是它的一些核心功能 可链接的友好API。 例如ac.can(role).create(resource) 角色层次继承。 一次(例如,从数据库结果中)定义赠款,或者一次一粒地定义。 通过全局符号定义的属性授予/拒绝权限(支持嵌套对象)。 能够通过允许的属性过滤数据(模型)实例。 能
nest-admin:采用nestjs typeorm vue开发的一套权限管理系统
03-11
项目说明 前端使用模板,初步使用nestjs typeorm等开发 项目特点 nest-admin权限管理系统,是基于nodejs打造出的一站式RBAC管理平台 使用技术 , , , 开发 优秀的菜单功能权限前端可灵活控制页面及按钮展示,某些可对未授权的请求进行拦截 当前已有功能:用户管理,角色管理,部门管理,菜单管理,文件管理 下一步计划 更好的系统日志 新增角色时,角色权限只能是创建者权限的子集,有效防止权限越权 部门任选绑定角色 项目结构 服务器初步项目结构 ── src // 构建相关 ├── commin // 公共代码,工具类等 │ ├── decorators // 自定义装饰器,包含 @Permssion 权限装饰器 │ ├── interfaces
nestjs-auth:全面处理NestJS的身份验证和授权
05-22
@eropple/nestjs-auth 当前状态 0.5.x是,我的当前雇主和其他NestJS用户正在多个生产应用程序上使用0.5.x。 近期变动 0.5.2 错误修复:不等待authz树根目录下的context 。 我可能会重新考虑表达该API的类型,以使其在将来更容易理解。 现在就any ,那是一种气味。 错误修复:在同一端点上使用多个作用域时,对后续端点的测试将导致重新设置request.locals 。 它不再这样做。 0.5.1 @AuthzScope()现在是可堆叠的。 如果您在同一处理程序上多次使用它,则检查的范围将是所有它们的并集。 添加了@AuthzAdoptScopeFrom() 。 它需要一个控制器和一个处理程序的名称(即使语法有点繁琐,也要进行类型检查),并将该处理程序指定的范围与为当前处理程序指定的任何范围合并。 感谢Brian Kracoff @ Hy
自定义注解
wqbs369的专栏
11-21 253
深入理解Java注解(Annotation)自定义注解入门   要深入学习注解,我们就必须能定义自己的注解,并使用注解,在定义自己的注解之前,我们就必须要了解Java为我们提供的元注解和相关定义注解的语法。 元注解:   元注解的作用就是负责注解其他注解Java5.0定义了4个标准的meta-annotation类型,它们被用来提供对其它 annotation类型作说
Nest JS 权限控制 rabc 0 的一种实现
suraelax的博客
09-29 675
文章更多的是在于记录。有看不懂的评论最简单的用户、角色、权限模型。
Nest Access Control:为NestJS构建角色和属性访问控制系统
gitblog_00581的博客
09-07 487
在现代Web应用中,访问控制是确保系统安全性和用户权限管理的关键部分。如果你正在使用NestJS构建一个复杂的应用,并且需要一个强大且灵活的访问控制系统,那么`Nest Access Control`模块将是你的理想选择。本文将详细介绍这个开源项目,帮助你了解其功能、技术特点以及应用场景。 ## 项目介绍 `Nest Access Control`是一个专为NestJS框架设计的访问控制模块,...
使用装饰器(注解)编写express实现nestjs控制器原理
qq_18470967的博客
11-27 1061
使用装饰器编写express,本文章所涉及的编程语言全程使用typescript,若不了解typescript的同学最好先补充一下前置知识才比较好吸收消化,本文章不会涉及一些前置知识的回顾,如有疑问请于下面评论区留言或者发私信。本文章涉及到的核心原理是使用到了typescript所拥有的装饰器写法,必须要打开里面的选项才可以进行装饰器的编写。附上本文章所使用的tsconfig文件配置{
java11新特性---Nest-Based Access Control(嵌套访问控制)
weixin_34013044的博客
09-29 2250
简介嵌套是一种访问控制上下文,它允许多个class同属一个逻辑代码块,但是被编译成多个分散的class文件,它们访问彼此的私有成员无需通过编译器添加访问扩展方法。动机很多jvm语言支持在一个源文件中放多个class。这对于用户是透明的,用户认为它们在一个class中,所以希望它们共享同一套访问控制体系。为了达到目的,编译器需要经常需要通过附加的access bridge扩大private成员的访问...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值