Nestjs RBAC 权限控制管理实践（一）

目前因为在作 Nodejs 构架的迁移, 把原有的 typerx 的后端项目迁移到 NestJS 框架上来, 作到权限管理部分, 特和你们分享下。 项目地址:

typerx

nestx

NestJs 官方角色控制介绍

由于这篇文章主要是对权限管理部分对介绍, 因此暂定已经有了用户身份知识的了解, 若想了解用户登陆相关内容, 请参阅其余相关文档。

1. Guards Guards 是一个注解式的守卫, 他描述了所修饰的控制器的访问限制是什么。他应该实现 CanActivate 这个接口。 Guards 有一个单一的职责就是决定请求是否能被路由处理。 *** 值得注意的是 Guards 处于每一个 middleware 以后, 但在 interceptor 和 pipe 以前。**

2. 在了解权限以前咱们须要了解两个概念一个是 Authentication , 一个是 Authorization, 你没看花眼, 是的他们很像, 可是其实是不同的。

Authentication 与 Authorization

Authentication 主要是身份检查, 意思就像问你有没身份证（有没登陆）-> 401

Authorization 主要是角色识别, 意思就像问你身份证的户口是否是本地的(角色是什么，有权限吗) -> 403。

(官方文档 Authorization guard# 和 Role-based authentication# 是否是有点反掉了呢?) auth.guard.ts

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Observable } from 'rxjs';

@Injectable()
export class AuthGuard implements CanActivate {
  canActivate(
    context: ExecutionContext,
  ): boolean | Promise<boolean> | Observable<boolean> {
    const request = context.switchToHttp().getRequest();
    return validateRequest(request);
  }
}
复制代码

roles.guard.ts

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Observable } from 'rxjs';

@Injectable()
export class RolesGuard implements CanActivate {
  canActivate(
    context: ExecutionContext,
  ): boolean | Promise<boolean> | Observable<boolean> {
    return true;
  }
}
复制代码

有了 AuthGuard 和 RolesGuard 以后，咱们的控制器能够这么写, 固然你能够绑定多个用逗号隔开。

采用依赖注入的 RolesGuard

@Controller('cats')
@UseGuards(RolesGuard)
export class CatsController {}

复制代码

非采用依赖注入的， 还可使用new的方式建立实例给他。

@Controller('cats')
@UseGuards(new RolesGuard())
export class CatsController {}
复制代码

采用全局方式, 能够省去每一个地方去注解, 但不会对 gateways 和 microservices 起做用（待验证下）

const app = await NestFactory.create(ApplicationModule);
app.useGlobalGuards(new RolesGuard());

复制代码

3. 通过上面的来回咱们已经有了 RolesGuard 了，但咱们还须要把角色关联到控制器。

直接看 cats.controller.ts 的写法

@Post()
@SetMetadata('roles', ['admin'])
async create(@Body() createCatDto: CreateCatDto) {
  this.catsService.create(createCatDto);
}
复制代码

这样角色就关联到控制器了，咱们这样就能够限定只有管理员才能访问这个接口, 可是代码是否是有点丑, 不太简洁对不对？ 那咱们换个方式：

@Post()
@Roles('admin')
async create(@Body() createCatDto: CreateCatDto) {
  this.catsService.create(createCatDto);
}
复制代码

这样是否是好多了？ 这个主要咱们加个下面的装饰器就能够了

roles.decorator.ts

import { SetMetadata } from '@nestjs/common';
export const Roles = (...roles: string[]) => SetMetadata('roles', roles);
复制代码

roles.guard.ts 实现的细节

import { Injectable, CanActivate, ExecutionContext } from '@nestjs/common';
import { Observable } from 'rxjs';
import { Reflector } from '@nestjs/core';

@Injectable()
export class RolesGuard implements CanActivate {
  constructor(private readonly reflector: Reflector) {}

  canActivate(context: ExecutionContext): boolean {
    const roles = this.reflector.get<string[]>('roles', context.getHandler()); // 从控制器注解中获得的角色组信息。
    if (!roles) {
      return true;
    }
    const request = context.switchToHttp().getRequest();
    const user = request.user;
    const hasRole = () => user.roles.some((role) => roles.includes(role)); // 是否匹配到角色
    return user && user.roles && hasRole();
  }
}
复制代码

这里主要是从上下文中得到 User 并从 User中取出角色和控制器中角色的注解看下是否有无交集匹配，若是有就放行。

总的来讲官方提供的文档不是不少, 且这样下来，整个方案也只是简单的角色守护, 还没法完成复杂的权限系统，但对通常性非灵活配置的系统也能知足了。

nestx 权限系统的需求

1. 角色能够自行定义。 图示:

2. 菜单下分多种类型的权限节点，如：读写控制等。 图示:

   

3. 角色能够配置管理菜单下的权限配置节点。 图示同上。

参考借鉴资源

• github.com/nestjs-comm…
• github.com/casbin/node…

nest-access-control

import { Get, Controller, UseGuards } from '@nestjs/common';
import { UserRoles, UseRoles, ACGuard } from 'nest-access-control';
import { AppService } from './app.service';
import { AuthGuard } from './auth.guard';
import { AppRoles } from 'app.roles';

@Controller()
export class AppController {
  constructor(private readonly appService: AppService) {}
  @UseGuards(AuthGuard, ACGuard)
  @UseRoles({
    resource: 'video',
    action: 'read',
    possession: 'any',
  })
  @Get()
  root(@UserRoles() userRoles: any) {
    return this.appService.root(userRoles);
  }
}
复制代码

Guard 注解方式比较有意思，分红资源、行为、权限, 看样子这个注解方式比较合乎咱们的须要。

有个 RolesBuilder 的类能够建立定义：

// app.roles.ts

export enum AppRoles {
  USER_CREATE_ANY_VIDEO = 'USER_CREATE_ANY_VIDEO',
  ADMIN_UPDATE_OWN_VIDEO = 'ADMIN_UPDATE_OWN_VIDEO',
}

export const roles: RolesBuilder = new RolesBuilder();

roles
  .grant(AppRoles.USER_CREATE_ANY_VIDEO) // define new or modify existing role. also takes an array.
  .createOwn('video') // equivalent to .createOwn('video', ['*'])
  .deleteOwn('video')
  .readAny('video')
  .grant(AppRoles.ADMIN_UPDATE_OWN_VIDEO) // switch to another role without breaking the chain
  .extend(AppRoles.USER_CREATE_ANY_VIDEO) // inherit role capabilities. also takes an array
  .updateAny('video', ['title']) // explicitly defined attributes
  .deleteAny('video');
复制代码

目前看到的方式，主要是文件的方式存储的，咱们须要放置到数据库，这个模块能够参考, 待后续分析。

node-casbin

casbin 看起来是比较流行的一个权限模块了,各类语言都有, 提供的功能也比较全。

1. 支持自定义请求的格式，默认的请求格式为{subject, object, action}；
2. 具备访问控制模型 model 和策略 policy 两个核心概念；
3. 支持 RBAC 中的多层角色继承，不止主体能够有角色，资源也能够具备角色；
4. 支持超级用户，如 root 或 Administrator，超级用户能够不受受权策略的约束访问任意资源；
5. 支持多种内置的操做符，如 keyMatch，方便对路径式的资源进行管理，如 /foo/bar 能够映射到 /foo*；

对于 node-casbin 目前的集成到nestjs 的示例有: nest-casbin 和 nt-casbin, 但这两个模块都比较简陋，只提供了简单都service 的包装调用

enforcer.enforce(sub, obj, act);
复制代码

且没有封装注解标签。 以上是一些准备和了解分析, 具体实现待续。