NestJS 系列教程 - 守卫

妖孽白YoonA2025-03-10 10:57

引言

守卫(Guards)!正如其名,它的作用就是阻止未经授权的访问。守卫是大多数后端框架中的常见概念,无论是框架原生提供还是开发者自定义实现。NestJS 让我们能轻松保护 API 免受未授权或未认证用户的访问。

与管道(pipes)和过滤器(filters)类似,NestJS 中的守卫使用 @Injectable() 装饰器。每个守卫都必须实现 CanActivate 接口。该接口的属性让开发者能轻松编写自定义守卫逻辑。

中间件 vs 守卫

中间件(middleware)完全不知道后续要执行什么操作。而守卫通过 ExecutionContext 实例可以精确知晓后续要执行的操作。它们更像是过滤器和管道,能在请求-响应周期的适当时机插入逻辑。这一特性表明中间件是"被动"的。

守卫的执行顺序是在所有中间件之后,但在管道和拦截器之前。以下示例代码(来自 NestJS 官方文档)展示了基本结构:

typescript 复制代码 
@Injectable()
export class AuthGuard implements CanActivate {
  canActivate(
    context: ExecutionContext,
  ): boolean | Promise<boolean> | Observable<boolean> {
    const request = context.switchToHttp().getRequest();
    // 验证请求对象中的角色和权限的代码
  }
}

执行上下文

ExecutionContext 类继承自 ArgumentsHost,提供了切换不同上下文的方法(如 HTTP、WebSocket、GraphQL)。通过 switchToHttp() 等方法可以获取特定上下文对象。

守卫绑定

守卫可以应用在三个作用域: • 全局作用域控制器作用域方法作用域

以下示例展示控制器级别的守卫绑定:

typescript 复制代码 
@Controller('pokemons')
@UseGuards(AuthGuard)
export class PokemonController {}

装饰器支持传递守卫类、实例或列表。

角色控制

角色系统用于限制端点访问权限。NestJS 通过自定义元数据实现角色验证:

typescript 复制代码 
@Post("/updateAccess")
@SetMetadata('roles', ['admin', 'superadmin'])
async updateReadWriteAccessofUser(@Body() inputDto: any): Promise<boolean> {
  this.adminService(inputDto);
}

更优雅的做法是创建专用装饰器(遵循 DRY 原则):

typescript 复制代码 
import { SetMetadata } from '@nestjs/common';

export const Roles = (...roles: string[]) => SetMetadata('roles', roles);

使用方式:

typescript 复制代码 
@Post("/updateAccess")
@Roles(["admin", "superadmin"])
async updateReadWriteAccessofUser(@Body() inputDto: any): Promise<boolean> {
  this.adminService(inputDto);
}

完整角色守卫实现

typescript 复制代码 
import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Reflector } from '@nestjs/core';

@Injectable()
export class RolesGuard implements CanActivate {
  constructor(private reflector: Reflector) {}

  canActivate(context: ExecutionContext): boolean {
    const roles = this.reflector.get<string[]>('roles', context.getHandler());
    if (!roles) return true;

    const request = context.switchToHttp().getRequest();
    const user = request.user;
    return verifyRoles(roles, user.roles);
  }
}

// 组合装饰器
export function Roles(...roles: string[]) {
  return applyDecorators(
    SetMetadata('roles', roles),
    UseGuards(RolesGuard),
  );
}

Reflector 工具类用于获取控制器方法的元数据。验证失败时会触发异常处理层(全局异常过滤器或当前上下文的异常过滤器)。

相关推荐
代码哈士奇18 小时前
Nestjs+nacos+kafka搭建中后台系统-后端(持续更新中)
redis·分布式·微服务·nacos·kafka·nestjs·pgsql
qq. 28040339842 天前
nestjs引篇
后端·node.js·nestjs
麻辣小蜗牛3 天前
深入理解 NestJS 内核:中间件 Middleware
nestjs
代码哈士奇5 天前
简单使用Nest+Nacos+Kafka实现微服务
后端·微服务·nacos·kafka·nestjs
濮水大叔7 天前
VonaJS AOP编程🚀大杀器🔪:外部切面
typescript·node.js·nestjs
濮水大叔7 天前
VonaJS AOP编程大杀器:外部切面
typescript·nodejs·nestjs
患得患失9499 天前
【NestJS】依赖注入:超越自动new的深层解析
nestjs
米诺zuo11 天前
nestjs中的SetMetadata用法
nestjs
濮水大叔11 天前
VonaJS AOP编程:魔术方法
typescript·nodejs·nestjs
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06KGG转MP3工具|非KGM文件|解密音频07jdk21下载、安装(Windows、Linux、macOS)08GitLab 零基础入门指南:从安装到项目管理全流程09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)