Varnostni mehanizmi (guards) določajo, ali je zahtevek dovoljen, da se nadaljuje do rutenega ročnika — to so NestJS-ov namenski mehanizem za avtorizacijo (in pogosto tudi preverke avtentičnosti). Varnostni mehanizem vrne true, da dovoli zahtevek, ali false/vrže izjemo, da ga blokira.
@Injectable()
export class AuthGuard implements CanActivate {
canActivate(context: ExecutionContext): boolean {
const request = context.switchToHttp().getRequest();
return !!request.headers.authorization; // true = allow, false = block (403)
}
}
Varisnostni mehanizem implementira canActivate(), ki vrne boolean (ali Promise/Observable tega). Vrnitev false blokira zahtevek s 403; lahko tudi vržete specifično izjemo (npr. UnauthorizedException).
@UseGuards(AuthGuard) // on a single route
@Get("profile")
getProfile() {}
@UseGuards(AuthGuard) // on a whole controller (all routes)
@Controller("admin")
export class AdminController {}
app.useGlobalGuards(new AuthGuard()); // globally (all routes)
Varnostne mehanizme lahko uporabite na ravni metode, kontrolerja ali globalni ravni.
@Injectable()
export class JwtAuthGuard implements CanActivate {
constructor(private jwtService: JwtService) {}
async canActivate(context: ExecutionContext): Promise<boolean> {
const request = context.switchToHttp().getRequest();
const token = request.headers.authorization?.split(" ")[1];
if (!token) throw new UnauthorizedException();
try {
request.user = await this.jwtService.verifyAsync(token); // attach the user
return true;
} catch {
throw new UnauthorizedException("Invalid token");
}
}
}
// a @Roles decorator stores required roles as metadata
@Roles("admin")
@Get("users")
listUsers() {}
// the RolesGuard reads the metadata and checks the user's roles
@Injectable()
export class RolesGuard implements CanActivate {
constructor(private reflector: Reflector) {}
canActivate(ctx: ExecutionContext): boolean {
const roles = this.reflector.get<string[]>("roles", ctx.getHandler());
const { user } = ctx.switchToHttp().getRequest();
return roles.some(role => user.roles?.includes(role)); // allow if the user has a required role
}
}
Kombiniranje dekorerja @Roles() (metapodatki) z varnostnim mehanizmom, ki ga prebere (prek Reflector), je standardni vzorec za avtorizacijo na podlagi vlog.
The ExecutionContext gives guards rich info (the handler, class, request) — more
than plain middleware — which is why guards (not middleware) are the right place
for authorization decisions.
Varnostni mehanizmi so namenski, idiomatski NestJS mehanizem za avtorizacijo — kontroliranje, katere zahtevke je dovoljeno doseči ročnike na podlagi avtentičnosti in dovoljenj.
Razumevanje jih je nujno potrebno, ker praktično vsaka prava aplikacija potrebuje zaščito rutenega (zahteva prijavo, preverka vlog/dovoljenj), in varnostni mehanizmi so pravo orodje za to (veliko čisteje kot phranjenje avtentifikacijske logike v middleware ali v vsak ročnik).
Standardni vzorci — varnostni mehanizem JWT/avtentičnosti, ki preveri poverila in prilepi uporabnika na zahtevek, in varnostni mehanizmi na podlagi vlog z kombiniranjem dekorerja @Roles() s varnostnim mehanizmom, ki bere preko Reflector za RBAC — so temeljni za zaščito NestJS API-jev.
Dostop varnostnih mehanizmov do bogatega ExecutionContext (poznavanje ciljnega ročnika, razreda in zahtevka) je natanko to, kar jih naredi primerne za odločitve avtorizacije, ki jih middleware ne more čisto narediti.
Znanje, kako pisati, uporabljati (metoda/kontroler/globalno) in kombinirati varnostne mehanizme s dekoratorji metapodatkov, je temeljno znanje za gradnjo varnih NestJS aplikacij in čest, arhitekturno pomembna tema v ogrodju.