Szerializáció azt határozza meg, hogyan kerülnek az objektumok átalakításra a válaszokban küldött JSON-ná — döntően érzékeny mezők kizárása (például jelszavak) és a kimenet formálása. A NestJS ezt a ClassSerializerInterceptor és a class-transformer dekorátorokkal kezeli.
()
() {
..(id);
}
Az adatbázis entitások közvetlen visszaadása olyan mezőket tehet ki, amelyek soha nem juthatnak el az ügyfélhez (jelszó kivonatai, belső jelzések, tokenek) — ez súlyos biztonsági/adatvédelmi probléma.
import { Exclude } from "class-transformer";
export class User {
id: number;
name: string;
email: string;
@Exclude() // this field is REMOVED from responses
password: string;
}
// enable the serializer interceptor (globally or per-controller)
@UseInterceptors(ClassSerializerInterceptor)
@Controller("users")
export class UsersController {
@Get(":id")
findOne(@Param("id") id): User {
return this.usersService.findOne(id); // password is automatically stripped
}
}
// or globally: app.useGlobalInterceptors(new ClassSerializerInterceptor(app.get(Reflector)))
A ClassSerializerInterceptor a válaszok szerializálásakor alkalmazza a class-transformer dekorátor-okat, így a @Exclude() mezők automatikusan eltávolításra kerülnek — de csak akkor, ha osztály példányokat adunk vissza (nem egyszerű objektumokat).
export class User {
@Expose() id: number; // explicitly include (with excludeAll strategy)
@Exclude() password: string; // remove from output
@Expose({ name: "full_name" }) // rename in the output
name: string;
@Transform(({ value }) => value.toUpperCase()) // transform the value
code: string;
@Exclude({ toPlainOnly: true }) // exclude only when serializing OUT (not on input)
internalField: string;
}
// ⚠️ the interceptor only transforms CLASS INSTANCES — plain objects pass through unchanged
return new User(data); // ✅ decorators apply
return plainToInstance(User, data); // ✅ convert a plain object to an instance
return { ...data }; // ❌ plain object — @Exclude is IGNORED!
Egy gyakori csapda: a szerializáció dekorátorok csak a tényleges osztály példányokon működnek, ezért vissza kell adni egy példányt (az ORM entitások általában példányok; a kézzel épített egyszerű objektumoknak szükségük van konverzióra).
Instead of decorating entities, map to a separate Response DTO containing only the
fields meant for the client — explicit, decoupled from the DB model, and very safe.
A válasz szerializáció kontrollja fontos mind a biztonság, mind a tiszta API tervezés szempontjából.
A legkritikusabb ok az érzékeny adatok kiszivárgásának megelőzése — az adatbázis entitások közvetlen visszaadása jelszó kivonatokat, belső mezőket, tokeneket vagy más olyan adatokat tehet ki, amelyek soha nem juthatnak el az ügyfelekhez, amely gyakori és súlyos sebezhető pont.
A NestJS ClassSerializerInterceptor a class-transformer dekorátorokkal (@Exclude, @Expose, @Transform) tiszta, deklaratív módot biztosít a válaszok formálásához — automatikusan eltávolítva az kizárt mezőket, átnevezve és átalakítva az értékeket.
Ennek megértése napi szintű ismeret minden olyan API-hoz, amely felhasználó vagy domain adatokat ad vissza, és a fő csapda ismerete — hogy a szerializáció csak osztály példányokon működik, egyszerű objektumokon nem (amely gyakran a "miért látszik még a jelszó?" hibák forrása) — gyakorlatilag fontos.
Egyenlő értékű az dedikált válasz DTO-k mintájának felismerése (entitások hozzárendelése explicit kimeneti osztályokhoz, amelyek csak kliens-biztonságos mezőket tartalmaznak), amely szétválasztja az API szerződést az adatbázis modelltől, és ez az érzékeny adatok legbiztonságosabb megközelítése.
A szerializáció helyes kontrollja a biztonságos, jól tervezett NestJS API-k sajátossága, és egy gyakran releváns szempont olyan valós alkalmazásokban, amelyek nem nyilvános adatokkal foglalkoznak.