Serializace řídí, jak se objekty transformují na JSON poslaný v odpovědích — zásadně vylučuje citlivá pole (jako hesla) a formátuje výstup. NestJS to řeší pomocí ClassSerializerInterceptor a dekorátorů z class-transformer.
()
() {
..(id);
}
Vrácení databázových entit přímo může odhalit pole, která by nikdy neměla dosáhnout klienta (hashe hesel, interní příznaky, tokeny) — vážný problém bezpečnosti a ochrany soukromí.
import { Exclude } from "class-transformer";
export class User {
id: number;
name: string;
email: string;
@Exclude() // this field is REMOVED from responses
password: string;
}
// enable the serializer interceptor (globally or per-controller)
@UseInterceptors(ClassSerializerInterceptor)
@Controller("users")
export class UsersController {
@Get(":id")
findOne(@Param("id") id): User {
return this.usersService.findOne(id); // password is automatically stripped
}
}
// or globally: app.useGlobalInterceptors(new ClassSerializerInterceptor(app.get(Reflector)))
ClassSerializerInterceptor aplikuje dekorátory z class-transformer při serializaci odpovědí, takže pole s @Exclude() jsou automaticky odstraněna — ale pouze pokud vrátíte instance tříd (ne prosté objekty).
export class User {
@Expose() id: number; // explicitly include (with excludeAll strategy)
@Exclude() password: string; // remove from output
@Expose({ name: "full_name" }) // rename in the output
name: string;
@Transform(({ value }) => value.toUpperCase()) // transform the value
code: string;
@Exclude({ toPlainOnly: true }) // exclude only when serializing OUT (not on input)
internalField: string;
}
// ⚠️ the interceptor only transforms CLASS INSTANCES — plain objects pass through unchanged
return new User(data); // ✅ decorators apply
return plainToInstance(User, data); // ✅ convert a plain object to an instance
return { ...data }; // ❌ plain object — @Exclude is IGNORED!
Častá chyba: dekorátory serializace fungují pouze na skutečných instancích tříd, takže musíte vrátit instanci (entity z ORM jsou obvykle instance; ručně vytvořené prosté objekty potřebují konverzi).
Instead of decorating entities, map to a separate Response DTO containing only the
fields meant for the client — explicit, decoupled from the DB model, and very safe.
Kontrola serializace odpovědí je důležitá pro bezpečnost i čistý návrh API.
Nejkritičtějším důvodem je prevence úniků citlivých dat — vrácení databázových entit přímo může odhalit hashe hesel, interní pole, tokeny nebo další data, která nesmí nikdy dosáhnout klientů, což je běžná a vážná zranitelnost.
ClassSerializerInterceptor NestJS s dekorátory z class-transformer (@Exclude, @Expose, @Transform) poskytuje čistý, deklarativní způsob, jak formátovat odpovědi — automaticky odstraňuje vyloučená pole, přejmenování a transformace hodnot.
Rozumění tomu je nezbytné každodenní znalosti pro jakékoli API, které vrací uživatelská nebo doménová data, a znalost klíčové chyby — že serializace funguje pouze na instancích tříd, ne na prostých objektech (který je časté zdroj chyb typu "proč se heslo stále zobrazuje?") — je prakticky důležitá.
Rovněž cená se poznání alternativního vzoru dedikovaných response DTO (mapování entit na explicitní výstupní třídy obsahující pouze bezpečná pole pro klienty), která odděluje kontrakt API od databázového modelu a je nejbezpečnějším přístupem pro citlivá data.
Správná kontrola serializace je poznaným znakem bezpečných, dobře navržených NestJS API a často relevantní záležitostí v reálných aplikacích, které manipulují s jakýmikoli neveřejnými údaji.