NestJS 系列教程 - 守卫

妖孽白YoonA2025-03-10 10:57

引言

守卫(Guards)!正如其名,它的作用就是阻止未经授权的访问。守卫是大多数后端框架中的常见概念,无论是框架原生提供还是开发者自定义实现。NestJS 让我们能轻松保护 API 免受未授权或未认证用户的访问。

与管道(pipes)和过滤器(filters)类似,NestJS 中的守卫使用 @Injectable() 装饰器。每个守卫都必须实现 CanActivate 接口。该接口的属性让开发者能轻松编写自定义守卫逻辑。

中间件 vs 守卫

中间件(middleware)完全不知道后续要执行什么操作。而守卫通过 ExecutionContext 实例可以精确知晓后续要执行的操作。它们更像是过滤器和管道,能在请求-响应周期的适当时机插入逻辑。这一特性表明中间件是"被动"的。

守卫的执行顺序是在所有中间件之后,但在管道和拦截器之前。以下示例代码(来自 NestJS 官方文档)展示了基本结构:

typescript 复制代码 
@Injectable()
export class AuthGuard implements CanActivate {
  canActivate(
    context: ExecutionContext,
  ): boolean | Promise<boolean> | Observable<boolean> {
    const request = context.switchToHttp().getRequest();
    // 验证请求对象中的角色和权限的代码
  }
}

执行上下文

ExecutionContext 类继承自 ArgumentsHost,提供了切换不同上下文的方法(如 HTTP、WebSocket、GraphQL)。通过 switchToHttp() 等方法可以获取特定上下文对象。

守卫绑定

守卫可以应用在三个作用域: • 全局作用域控制器作用域方法作用域

以下示例展示控制器级别的守卫绑定:

typescript 复制代码 
@Controller('pokemons')
@UseGuards(AuthGuard)
export class PokemonController {}

装饰器支持传递守卫类、实例或列表。

角色控制

角色系统用于限制端点访问权限。NestJS 通过自定义元数据实现角色验证:

typescript 复制代码 
@Post("/updateAccess")
@SetMetadata('roles', ['admin', 'superadmin'])
async updateReadWriteAccessofUser(@Body() inputDto: any): Promise<boolean> {
  this.adminService(inputDto);
}

更优雅的做法是创建专用装饰器(遵循 DRY 原则):

typescript 复制代码 
import { SetMetadata } from '@nestjs/common';

export const Roles = (...roles: string[]) => SetMetadata('roles', roles);

使用方式:

typescript 复制代码 
@Post("/updateAccess")
@Roles(["admin", "superadmin"])
async updateReadWriteAccessofUser(@Body() inputDto: any): Promise<boolean> {
  this.adminService(inputDto);
}

完整角色守卫实现

typescript 复制代码 
import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Reflector } from '@nestjs/core';

@Injectable()
export class RolesGuard implements CanActivate {
  constructor(private reflector: Reflector) {}

  canActivate(context: ExecutionContext): boolean {
    const roles = this.reflector.get<string[]>('roles', context.getHandler());
    if (!roles) return true;

    const request = context.switchToHttp().getRequest();
    const user = request.user;
    return verifyRoles(roles, user.roles);
  }
}

// 组合装饰器
export function Roles(...roles: string[]) {
  return applyDecorators(
    SetMetadata('roles', roles),
    UseGuards(RolesGuard),
  );
}

Reflector 工具类用于获取控制器方法的元数据。验证失败时会触发异常处理层(全局异常过滤器或当前上下文的异常过滤器)。

相关推荐
小蜜蜂dry1 天前
nestjs学习 - 控制器、提供者、模块
前端·node.js·nestjs
前端付豪2 天前
Nest 项目小实践之图书增删改查
前端·node.js·nestjs
前端付豪3 天前
Nest 项目小实践之图书展示和搜索
前端·node.js·nestjs
前端付豪5 天前
Nest 项目小实践之前端注册登陆
前端·node.js·nestjs
Mr_li7 天前
NestJS 集成 TypeORM 的最优解
node.js·nestjs
前端付豪8 天前
Nest 项目小实践之注册登陆
前端·node.js·nestjs
Mr_li9 天前
手摸手,教你如何优雅的书写 NestJS 服务配置
node.js·nestjs
Jiude9 天前
AI 全栈时代的工程化护栏:Vben-Nest 让 Mock 契约落地成真实后端
前端·后端·nestjs
折七10 天前
NestJS 用了两年,我换了这个
typescript·node.js·nestjs
NEXT0617 天前
深度解析 JWT:从 RFC 原理到 NestJS 实战与架构权衡
前端·typescript·nestjs
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03Window 10部署openclaw报错node.exe : npm error code 12804OpenClaw + 飞书(Feishu)环境搭建指南05本地部署 OpenClaw + DeepSeek-R1 完全指南06OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录07小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)08OpenClaw优化飞书API 额度已耗尽问题09Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services10OpenClaw 飞书机器人不回复消息?3 小时踩坑总结