Serialization کنٹرول کرتا ہے کہ اشیاء responses میں بھیجے جانے والے JSON میں کیسے تبدیل ہوں — خاص طور پر، حساس فیلڈز کو خارج کرنا (جیسے passwords) اور آؤٹ پٹ کو شکل دینا۔ NestJS اس کو ClassSerializerInterceptor اور class-transformer decorators کے ساتھ ہینڈل کرتا ہے۔
()
() {
..(id);
}
ڈیٹا بیس اشیاء کو براہ راست واپس کرنا ایسے فیلڈز کو ظاہر کر سکتا ہے جو کلائنٹ تک کبھی نہیں پہنچنے چاہیں (password hashes، اندرونی flags، tokens) — ایک سنگین سیکیورٹی/رازداری کا مسئلہ۔
import { Exclude } from "class-transformer";
export class User {
id: number;
name: string;
email: string;
@Exclude() // this field is REMOVED from responses
password: string;
}
// enable the serializer interceptor (globally or per-controller)
@UseInterceptors(ClassSerializerInterceptor)
@Controller("users")
export class UsersController {
@Get(":id")
findOne(@Param("id") id): User {
return this.usersService.findOne(id); // password is automatically stripped
}
}
// or globally: app.useGlobalInterceptors(new ClassSerializerInterceptor(app.get(Reflector)))
ClassSerializerInterceptor responses کو serialize کرتے وقت class-transformer decorators کو لاگو کرتا ہے، تو @Exclude() فیلڈز خود بخود ہٹا دیے جاتے ہیں — لیکن صرف اگر آپ class instances واپس کریں (plain objects نہیں)۔
export class User {
@Expose() id: number; // explicitly include (with excludeAll strategy)
@Exclude() password: string; // remove from output
@Expose({ name: "full_name" }) // rename in the output
name: string;
@Transform(({ value }) => value.toUpperCase()) // transform the value
code: string;
@Exclude({ toPlainOnly: true }) // exclude only when serializing OUT (not on input)
internalField: string;
}
// ⚠️ the interceptor only transforms CLASS INSTANCES — plain objects pass through unchanged
return new User(data); // ✅ decorators apply
return plainToInstance(User, data); // ✅ convert a plain object to an instance
return { ...data }; // ❌ plain object — @Exclude is IGNORED!
ایک عام غلطی: serialization decorators صرف actual class instances پر کام کرتے ہیں، تو آپ کو ایک instance واپس کرنا چاہیے (ORM entities عام طور پر instances ہیں؛ دستی طور پر بنائے گئے plain objects کو تبدیلی کی ضرورت ہے)۔
Instead of decorating entities, map to a separate Response DTO containing only the
fields meant for the client — explicit, decoupled from the DB model, and very safe.
Response serialization کو کنٹرول کرنا سیکیورٹی اور صاف API ڈیزائن دونوں کے لیے اہم ہے۔
سب سے اہم وجہ ہے حساس ڈیٹا کے رساؤ کو روکنا — ڈیٹا بیس اشیاء کو براہ راست واپس کرنا password hashes، اندرونی فیلڈز، tokens، یا دیگر ڈیٹا کو ظاہر کر سکتا ہے جو کلائنٹس تک کبھی نہیں پہنچنے چاہیں، ایک عام اور سنگین vulnerability۔
NestJS کا ClassSerializerInterceptor class-transformer decorators (@Exclude, @Expose, @Transform) کے ساتھ responses کی شکل دینے کا ایک صاف، declarative طریقہ فراہم کرتا ہے — خود بخود excluded فیلڈز کو ہٹانا، نام بدلنا، اور values کو تبدیل کرنا۔
اس کو سمجھنا کسی بھی API کے لیے روزمرہ کی ضروری معلومات ہے جو user یا domain data واپس کرتا ہے، اور اہم gotcha کو جاننا — کہ serialization صرف class instances پر کام کرتا ہے، plain objects پر نہیں ("password ابھی کیوں دکھائی دے رہا ہے؟" bugs کا ایک بار بار ذریعہ) — عملی طور پر اہم ہے۔
مخصوص response DTOs کے متبادل pattern کو پہچاننا بھی قیمتی ہے (entities کو explicit output classes میں map کرنا جن میں صرف client-safe fields ہوں)، جو API contract کو ڈیٹا بیس ماڈل سے الگ کرتا ہے اور حساس ڈیٹا کے لیے سب سے محفوظ نقطہ نظر ہے۔
Serialization کو صحیح طریقے سے کنٹرول کرنا محفوظ، اچھی طریقے سے ڈیزائن شدہ NestJS APIs کی علامت ہے اور کسی بھی غیر عوامی ڈیٹا کو ہینڈل کرنے والی حقیقی ایپلیکیشنز میں ایک بار بار متعلقہ تشویش ہے۔