2025 年最新 NestJS 授權（Authorization）完全指南

NestJS 是一個基於 TypeScript 的 Node.js 框架，適用於構建高效且可擴展的微服務、Web 應用程序和 API。它提供了一個模塊化的架構，使開發者能夠快速構建高品質的應用程序。

在 NestJS 中，授權是一個至關重要的功能，它不僅能保護應用程序的資源，還能控制用戶對資源的訪問權限。本文將介紹如何在 NestJS 中實現授權，並提供最新的語法與最佳實踐，以確保您的應用程序安全。

NestJS 授權的基本概念

授權是一種控制訪問權限的機制，允許開發者定義哪些用戶可以訪問哪些資源，並執行哪些操作。合理的授權策略能夠有效地保護應用程序的敏感數據，防止未經授權的訪問。

在 NestJS 中，授權通常與身份驗證（Authentication）相結合。身份驗證是確認用戶身份的過程，而授權則是確定該用戶在應用程序中的操作權限。

如何在 NestJS 中實現授權

NestJS 提供了一個簡單的 API，讓開發者能夠快速實現授權。以下是如何實現授權的步驟：

1. **定義授權策略**：授權策略是一個返回布爾值的函數，根據用戶的身份決定是否允許訪問特定資源。

2. **使用守衛（Guard）**：守衛是 NestJS 的一個功能，可以用於控制進入路由的請求。

以下是如何實現一個簡單的授權守衛的範例：

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';

@Injectable()
export class AuthGuard implements CanActivate {
  canActivate(context: ExecutionContext): boolean {
    const request = context.switchToHttp().getRequest();
    const user = request.user;
    return user && user.isAuthenticated();
  }
}

接下來，開發者可以在應用程序中使用這個守衛來控制用戶訪問資源的權限：

import { Controller, Get, UseGuards } from '@nestjs/common';

@Controller('users')
@UseGuards(AuthGuard)
export class UsersController {
  @Get()
  getUsers() {
    // 返回用戶列表
    return [];
  }
}

這樣，只有經過授權的用戶才能訪問 `/users` 路由。

錯誤排除

在實現授權時，開發者可能會遇到一些常見的錯誤：

– **未正確設置守衛**：確認守衛已正確應用到控制器或路由上。
– **用戶未正確身份驗證**：確保用戶在請求中攜帶有效的身份驗證令牌。
– **授權策略錯誤**：檢查授權策略的邏輯，確保其正確返回布爾值。

延伸應用

除了基本的授權，開發者還可以實現更複雜的授權策略，例如基於角色的授權。這種方式可以根據用戶的角色（如 admin、user 等）來控制其訪問權限。

以下是基於角色的授權的簡單實現範例：

// 定義角色
enum Role {
  User = 'user',
  Admin = 'admin',
}

// 新的授權策略
@Injectable()
export class RolesGuard implements CanActivate {
  constructor(private readonly reflector: Reflector) {}

  canActivate(context: ExecutionContext): boolean {
    const roles = this.reflector.get('roles', context.getHandler());
    const request = context.switchToHttp().getRequest();
    const user = request.user;
    return user && roles.includes(user.role);
  }
}

總結

NestJS 提供了一個強大的授權系統，使開發者能夠快速構建安全的應用程序。通過合理的授權策略和守衛，開發者可以有效地控制用戶的訪問權限，保護應用程序的資源。

Q&A（常見問題解答）

Q1: NestJS 授權與身份驗證有什麼不同？

A1: 身份驗證是確認用戶身份的過程，而授權是決定該用戶在應用程序中擁有的操作權限。

Q2: 如何在 NestJS 中實現基於角色的授權？

A2: 您可以通過擴展授權策略，利用角色來控制用戶的訪問權限，並使用守衛來執行該策略。

Q3: NestJS 中的守衛是什麼？

A3: 守衛是用於檢查請求是否符合特定條件的功能組件，通常用於身份驗證和授權。

—