Serialisasi mengontrol bagaimana objek ditransformasi menjadi JSON yang dikirim dalam respons — secara krusial, mengecualikan field sensitif (seperti password) dan membentuk output. NestJS menangani ini dengan ClassSerializerInterceptor dan dekorator class-transformer.
()
() {
..(id);
}
Mengembalikan entitas database secara langsung dapat mengekspos field yang tidak boleh sampai ke klien (hash password, flag internal, token) — masalah keamanan/privasi yang serius.
import { Exclude } from "class-transformer";
export class User {
id: number;
name: string;
email: string;
@Exclude() // this field is REMOVED from responses
password: string;
}
// enable the serializer interceptor (globally or per-controller)
@UseInterceptors(ClassSerializerInterceptor)
@Controller("users")
export class UsersController {
@Get(":id")
findOne(@Param("id") id): User {
return this.usersService.findOne(id); // password is automatically stripped
}
}
// or globally: app.useGlobalInterceptors(new ClassSerializerInterceptor(app.get(Reflector)))
ClassSerializerInterceptor menerapkan dekorator class-transformer saat serialisasi respons, jadi field @Exclude() secara otomatis dihapus — tetapi hanya jika Anda mengembalikan instance kelas (bukan objek polos).
export class User {
@Expose() id: number; // explicitly include (with excludeAll strategy)
@Exclude() password: string; // remove from output
@Expose({ name: "full_name" }) // rename in the output
name: string;
@Transform(({ value }) => value.toUpperCase()) // transform the value
code: string;
@Exclude({ toPlainOnly: true }) // exclude only when serializing OUT (not on input)
internalField: string;
}
// ⚠️ the interceptor only transforms CLASS INSTANCES — plain objects pass through unchanged
return new User(data); // ✅ decorators apply
return plainToInstance(User, data); // ✅ convert a plain object to an instance
return { ...data }; // ❌ plain object — @Exclude is IGNORED!
Gotcha umum: dekorator serialisasi hanya bekerja pada instance kelas aktual, jadi Anda harus mengembalikan instance (entitas ORM biasanya adalah instance; objek polos yang dibangun secara manual memerlukan konversi).
Instead of decorating entities, map to a separate Response DTO containing only the
fields meant for the client — explicit, decoupled from the DB model, and very safe.
Mengontrol serialisasi respons penting untuk keamanan dan desain API yang bersih.
Alasan paling kritis adalah mencegah kebocoran data sensitif — mengembalikan entitas database secara langsung dapat mengekspos hash password, field internal, token, atau data lain yang tidak boleh sampai ke klien, kerentanan umum dan serius.
ClassSerializerInterceptor NestJS dengan dekorator class-transformer (@Exclude, @Expose, @Transform) menyediakan cara yang bersih dan deklaratif untuk membentuk respons — secara otomatis menghapus field yang dikecualikan, mengganti nama, dan mengubah nilai.
Memahami ini adalah pengetahuan penting setiap hari untuk API apa pun yang mengembalikan data pengguna atau domain, dan mengetahui gotcha kunci — bahwa serialisasi hanya bekerja pada instance kelas, bukan objek polos (sumber sering terjadi dari bug "mengapa password masih ditampilkan?") — secara praktis penting.
Sama pentingnya adalah mengenali pola alternatif response DTO khusus (memetakan entitas ke kelas output eksplisit yang berisi hanya field yang aman untuk klien), yang memisahkan kontrak API dari model database dan merupakan pendekatan teraman untuk data sensitif.
Mengontrol serialisasi dengan benar adalah ciri khas API NestJS yang aman dan dirancang dengan baik serta concern yang sering relevan dalam aplikasi nyata menangani data non-publik.