欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Nest.js 授權(quán)驗(yàn)證的方法示例

 更新時間:2021年02月22日 08:59:37   作者:Jaxson Wang  
這篇文章主要介紹了Nest.js 授權(quán)驗(yàn)證的方法示例,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

0x0 前言

系統(tǒng)授權(quán)指的是登錄用戶執(zhí)行操作過程,比如管理員可以對系統(tǒng)進(jìn)行用戶操作、網(wǎng)站帖子管理操作,非管理員可以進(jìn)行授權(quán)閱讀帖子等操作,所以實(shí)現(xiàn)需要對系統(tǒng)的授權(quán)需要身份驗(yàn)證機(jī)制,下面來實(shí)現(xiàn)最基本的基于角色的訪問控制系統(tǒng)。

0x1 RBAC 實(shí)現(xiàn)

基于角色的訪問控制(RBAC)是圍繞角色的特權(quán)和定義的策略無關(guān)的訪問控制機(jī)制,首先創(chuàng)建個代表系統(tǒng)角色枚舉信息 role.enum.ts:

export enum Role {
 User = 'user',
 Admin = 'admin'
}

如果是更復(fù)雜的系統(tǒng),推薦角色信息存儲到數(shù)據(jù)庫更好管理。

然后創(chuàng)建裝飾器和使用 @Roles() 來運(yùn)行指定訪問所需要的資源角色,創(chuàng)建roles.decorator.ts:

import { SetMetadata } from '@nestjs/common'
import { Role } from './role.enum'

export const ROLES_KEY = 'roles'
export const Roles = (...roles: Role[]) => SetMetadata(ROLES_KEY, roles)

上述創(chuàng)建一個名叫 @Roles() 的裝飾器,可以使用他來裝飾任何一個路由控制器,比如用戶創(chuàng)建:

@Post()
@Roles(Role.Admin)
create(@Body() createUserDto: CreateUserDto): Promise<UserEntity> {
 return this.userService.create(createUserDto)
}

最后創(chuàng)建一個 RolesGuard 類,它會實(shí)現(xiàn)將分配給當(dāng)前用戶角色和當(dāng)前路由控制器所需要角色進(jìn)行比較,為了訪問路由角色(自定義元數(shù)據(jù)),將使用 Reflector 工具類,新建 roles.guard.ts:

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common'
import { Reflector } from '@nestjs/core'

import { Role } from './role.enum'
import { ROLES_KEY } from './roles.decorator'

@Injectable()
export class RolesGuard implements CanActivate {
 constructor(private reflector: Reflector) {}

 canActivate(context: ExecutionContext): boolean {
 const requireRoles = this.reflector.getAllAndOverride<Role[]>(ROLES_KEY, [context.getHandler(), context.getClass()])
 if (!requireRoles) {
  return true
 }
 const { user } = context.switchToHttp().getRequest()
 return requireRoles.some(role => user.roles?.includes(role))
 }
}

假設(shè) request.user 包含 roles 屬性:

class User {
 // ...other properties
 roles: Role[]
}

然后 RolesGuard 在控制器全局注冊:

providers: [
 {
 provide: APP_GUARD,
 useClass: RolesGuard
 }
]

當(dāng)某個用戶訪問超出角色范疇內(nèi)的請求出現(xiàn):

{
 "statusCode": 403,
 "message": "Forbidden resource",
 "error": "Forbidden"
}

0x2 基于聲明的授權(quán)

創(chuàng)建身份后,系統(tǒng)可以給身份分配一個或者多個聲明權(quán)限,表示告訴當(dāng)前用戶可以做什么,而不是當(dāng)前用戶是什么,在 Nest 系統(tǒng)里實(shí)現(xiàn)基于聲明授權(quán),步驟和上面 RBAC 差不多,但有個區(qū)別是,需要比較權(quán)限,而不是判斷特定角色,每個用戶分配一組權(quán)限,比如定一個 @RequirePermissions() 裝飾器,然后訪問所需的權(quán)限屬性:

@Post()
@RequirePermissions(Permission.CREATE_USER)
create(@Body() createUserDto: CreateUserDto): Promise<UserEntity> {
 return this.userService.create(createUserDto)
}

Permission 表示類似 PRAC 中的 Role 枚舉,包含其中系統(tǒng)可訪問的權(quán)限組:

export enum Role {
 CREATE_USER = ['add', 'read', 'update', 'delete'],
 READ_USER = ['read']
}

0x3 集成 CASL

CASL 是一個同構(gòu)授權(quán)庫,可以限制客戶端訪問的路由控制器資源,安裝依賴:

yarn add @casl/ability

下面使用最簡單的例子來實(shí)現(xiàn) CASL 的機(jī)制,創(chuàng)建 User 和 Article 倆個實(shí)體類:

class User {
 id: number
 isAdmin: boolean
}

User 實(shí)體類倆個屬性,分別是用戶編號和是否具有管理員權(quán)限。

class Article {
 id: number
 isPublished: boolean
 authorId: string
}

Article 實(shí)體類有三個屬性,分別是文章編號和文章狀態(tài)(是否已經(jīng)發(fā)布)以及撰寫文章的作者編號。

根據(jù)上面?zhèn)z個最簡單的例子組成最簡單的功能:

  • 具有管理員權(quán)限的用戶可以管理所有實(shí)體(創(chuàng)建、讀取、更新和刪除)
  • 用戶對所有內(nèi)容只有只讀訪問權(quán)限
  • 用戶可以更新自己撰寫的文章 authorId === userId
  • 已發(fā)布的文章無法刪除 article.isPublished === true

針對上面功能可以創(chuàng)建 Action 枚舉,來表示用戶對實(shí)體的操作:

export enum Action {
 Manage = 'manage',
 Create = 'create',
 Read = 'read',
 Update = 'update',
 Delete = 'delete',
}

manage 是 CASL 中的特殊關(guān)鍵字,表示可以進(jìn)行任何操作。

實(shí)現(xiàn)功能需要二次封裝 CASL 庫,執(zhí)行 nest-cli 進(jìn)行創(chuàng)建需要業(yè)務(wù):

nest g module casl
nest g class casl/casl-ability.factory

定義 CaslAbilityFactory 的 createForUser() 方法,來未用戶創(chuàng)建對象:

type Subjects = InferSubjects<typeof Article | typeof User> | 'all'

export type AppAbility = Ability<[Action, Subjects]>

@Injectable()
export class CaslAbilityFactory {
 createForUser(user: User) {
 const { can, cannot, build } = new AbilityBuilder<
  Ability<[Action, Subjects]>
 >(Ability as AbilityClass<AppAbility>);

 if (user.isAdmin) {
  can(Action.Manage, 'all') // 允許任何讀寫操作
 } else {
  can(Action.Read, 'all') // 只讀操作
 }

 can(Action.Update, Article, { authorId: user.id })
 cannot(Action.Delete, Article, { isPublished: true })

 return build({
  // 詳細(xì):https://casl.js.org/v5/en/guide/subject-type-detection#use-classes-as-subject-types
  detectSubjectType: item => item.constructor as ExtractSubjectType<Subjects>
 })
 }
}

然后在 CaslModule 引入:

import { Module } from '@nestjs/common'
import { CaslAbilityFactory } from './casl-ability.factory'

@Module({
 providers: [CaslAbilityFactory],
 exports: [CaslAbilityFactory]
})
export class CaslModule {}

然后在任何業(yè)務(wù)引入 CaslModule 然后在構(gòu)造函數(shù)注入就可以使用了:

constructor(private caslAbilityFactory: CaslAbilityFactory) {}

const ability = this.caslAbilityFactory.createForUser(user)
if (ability.can(Action.Read, 'all')) {
 // "user" 對所有內(nèi)容可以讀寫
}

如果當(dāng)前用戶是普通權(quán)限非管理員用戶,可以閱讀文章,但不能創(chuàng)建新的文章和刪除現(xiàn)有文章:

const user = new User()
user.isAdmin = false

const ability = this.caslAbilityFactory.createForUser(user)
ability.can(Action.Read, Article) // true
ability.can(Action.Delete, Article) // false
ability.can(Action.Create, Article) // false

這樣顯然有問題,當(dāng)前用戶如果是文章的作者,應(yīng)該可以對此進(jìn)行操作:

const user = new User()
user.id = 1

const article = new Article()
article.authorId = user.id

const ability = this.caslAbilityFactory.createForUser(user)
ability.can(Action.Update, article) // true

article.authorId = 2
ability.can(Action.Update, article) // false

0x4 PoliceiesGuard

上述簡單的實(shí)現(xiàn),但在復(fù)雜的系統(tǒng)中還是不滿足更復(fù)雜的需求,所以配合上一篇的身份驗(yàn)證文章來進(jìn)行擴(kuò)展類級別授權(quán)策略模式,在原有的 CaslAbilityFactory 類進(jìn)行擴(kuò)展:

import { AppAbility } from '../casl/casl-ability.factory'

interface IPolicyHandler {
 handle(ability: AppAbility): boolean
}

type PolicyHandlerCallback = (ability: AppAbility) => boolean

export type PolicyHandler = IPolicyHandler | PolicyHandlerCallback

提供支持對象和函數(shù)對每個路由控制器進(jìn)行策略檢查:IPolicyHandler 和 PolicyHandlerCallback。

然后創(chuàng)建一個 @CheckPolicies() 裝飾器來運(yùn)行指定訪問特定資源策略:

export const CHECK_POLICIES_KEY = 'check_policy'
export const CheckPolicies = (...handlers: PolicyHandler[]) => SetMetadata(CHECK_POLICIES_KEY, handlers)

創(chuàng)建 PoliciesGuard 類來提取并且執(zhí)行綁定路由控制器所有策略:

@Injectable()
export class PoliciesGuard implements CanActivate {
 constructor(
 private reflector: Reflector,
 private caslAbilityFactory: CaslAbilityFactory,
 ) {}

 async canActivate(context: ExecutionContext): Promise<boolean> {
 const policyHandlers =
  this.reflector.get<PolicyHandler[]>(
  CHECK_POLICIES_KEY,
  context.getHandler()
  ) || []

 const { user } = context.switchToHttp().getRequest()
 const ability = this.caslAbilityFactory.createForUser(user)

 return policyHandlers.every((handler) =>
  this.execPolicyHandler(handler, ability)
 )
 }

 private execPolicyHandler(handler: PolicyHandler, ability: AppAbility) {
 if (typeof handler === 'function') {
  return handler(ability)
 }
 return handler.handle(ability)
 }
}

假設(shè) request.user 包含用戶實(shí)例,policyHandlers 是通過裝飾器 @CheckPolicies() 分配,使用 aslAbilityFactory#create 構(gòu)造 Ability 對象方法,來驗(yàn)證用戶是否具有足夠的權(quán)限來執(zhí)行特定的操作,然后將此對象傳遞給策略處理方法,該方法可以實(shí)現(xiàn)函數(shù)或者是類的實(shí)例 IPolicyHandler,并且公開 handle() 方法返回布爾值。

@Get()
@UseGuards(PoliciesGuard)
@CheckPolicies((ability: AppAbility) => ability.can(Action.Read, Article))
findAll() {
 return this.articlesService.findAll()
}

同樣可以定義 IPolicyHandler 接口類:

export class ReadArticlePolicyHandler implements IPolicyHandler {
 handle(ability: AppAbility) {
 return ability.can(Action.Read, Article)
 }
}

使用如下:

@Get()
@UseGuards(PoliciesGuard)
@CheckPolicies(new ReadArticlePolicyHandler())
findAll() {
 return this.articlesService.findAll()
}

到此這篇關(guān)于Nest.js 授權(quán)驗(yàn)證的方法示例的文章就介紹到這了,更多相關(guān)Nest.js 授權(quán)驗(yàn)證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家! 

相關(guān)文章

最新評論