🦁

NestJSを使ったRBAC権限システムの設計:手順を追ったガイド

2025/01/05に公開

表紙

前書き

バックエンド管理システムでは、アクセス制御や個別のユーザーインターフェイスが必須です。例えば、スーパ管理者はすべてのページを閲覧でき、通常ユーザーは A および B ページにアクセスでき、VIP ユーザーは A、B、C、D ページを閲覧できます。これらの機能の背後には、以下の 3 つの重要な概念が設計されています。

  • ユーザー: 基本的な単位、例: Alice、Bob、Charlie。
  • ロール: ユーザーは 1 つ以上のロールを持つことができます。例えば、Alice は通常ユーザーと VIP の両方のロールを持つ場合があります。
  • 権限: ロールには複数の権限が関連付けられています。例えば、VIP ロールは「閲覧」、「編集」、「追加」の権限を持つことができますが、スーパ管理者は「閲覧」、「編集」、「追加」、「削除」の権限を持つことができます。

これらの関係は以下の図で示すことができます。

Image

次に、Nestを使用して、このようなシステムの基盤である権限設計をゼロから実装します。

データベースの作成

まず、データベースを作成する必要があります。ここでは、MySQLデータベースを使用し、次のコマンドを実行して作成します。

CREATE DATABASE `nest-database` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

プロジェクトの初期化

以下のコマンドを実行して、新しいNestプロジェクトを開始します。

nest new nest-project

次に、データベース関連の依存関係をインストールします。主にtypeormmysql2を使用します。

npm install --save @nestjs/typeorm typeorm mysql2

次に、typeormの設定をapp.module.tsに追加します。

import { Module } from '@nestjs/common';
import { AppController } from './app.controller';
import { AppService } from './app.service';
import { TypeOrmModule } from '@nestjs/typeorm';

@Module({
  imports: [
    TypeOrmModule.forRoot({
      type: 'mysql',
      host: 'localhost',
      port: 3306,
      username: 'root',
      password: 'password',
      database: 'nest-database',
      synchronize: true,
      logging: true,
      entities: [__dirname + '/**/*.entity{.ts,.js}'],
      poolSize: 10,
      connectorPackage: 'mysql2',
    }),
  ],
  controllers: [AppController],
  providers: [AppService],
})
export class AppModule {}

テーブル設計

一般的に、RBAC(Role-Based Access Control)システムでは、以下の 5 つのテーブルが使用されます。

  • ユーザーテーブル (user): ユーザー名、パスワード、メールアドレスなどの基本情報を保存。
  • ロールテーブル (role): ロール名、ロールコードなどの基本情報を保存。
  • 権限テーブル (permission): 権限名、権限コードなどの基本情報を保存。
  • ユーザーとロールの関連テーブル (user_role_relation): ユーザーとロールの関係を記録。
  • ロールと権限の関連テーブル (role_permission_relation): ロールと権限の関係を記録。

以下はドメインモデルの図です。

Image

次に、Nestで 3 つの非関連テーブルを作成し、それらの関係を定義します。

user.entity.ts:

import {
  Column,
  CreateDateColumn,
  Entity,
  JoinTable,
  ManyToMany,
  PrimaryGeneratedColumn,
  UpdateDateColumn,
} from 'typeorm';

import { Role } from './role.entity';

@Entity()
export class User {
  @PrimaryGeneratedColumn()
  id: number;

  @Column({
    length: 50,
  })
  username: string;

  @Column({
    length: 50,
  })
  password: string;

  @CreateDateColumn()
  createTime: Date;

  @UpdateDateColumn()
  updateTime: Date;

  @ManyToMany(() => Role)
  @JoinTable({
    name: 'user_role_relation',
    joinColumn: {
      name: 'userId',
      referencedColumnName: 'id',
    },
    inverseJoinColumn: {
      name: 'roleId',
      referencedColumnName: 'id',
    },
  })
  roles: Role[];
}

Userテーブルでは、rolesフィールドがuser_role_relationテーブルと接続されます。関係のロジックは次のとおりです: user.id === userRoleRelation.userIdおよびrole.id === userRoleRelation.roleId。条件を満たすRoleレコードがUserに自動的に関連付けられます。

role.entity.ts:

import {
  Column,
  CreateDateColumn,
  Entity,
  JoinTable,
  ManyToMany,
  PrimaryGeneratedColumn,
  UpdateDateColumn,
} from 'typeorm';

import { Permission } from './permission.entity';

@Entity()
export class Role {
  @PrimaryGeneratedColumn()
  id: number;

  @Column({
    length: 20,
  })
  name: string;

  @CreateDateColumn()
  createTime: Date;

  @UpdateDateColumn()
  updateTime: Date;

  @ManyToMany(() => Permission)
  @JoinTable({
    name: 'role_permission_relation',
    joinColumn: {
      name: 'roleId',
      referencedColumnName: 'id',
    },
    inverseJoinColumn: {
      name: 'permissionId',
      referencedColumnName: 'id',
    },
  })
  permissions: Permission[];
}

Roleテーブルのpermissionsフィールドも同様に機能します。関係のロジックは次のとおりです: role.id === rolePermissionRelation.roleIdおよびpermission.id === rolePermissionRelation.permissionId

permission.entity.ts:

import {
  Column,
  CreateDateColumn,
  Entity,
  PrimaryGeneratedColumn,
  UpdateDateColumn,
} from 'typeorm';

@Entity()
export class Permission {
  @PrimaryGeneratedColumn()
  id: number;

  @Column({
    length: 50,
  })
  name: string;

  @Column({
    length: 100,
    nullable: true,
  })
  desc: string;

  @CreateDateColumn()
  createTime: Date;

  @UpdateDateColumn()
  updateTime: Date;
}

Permissionテーブルには関係がなく、利用可能な権限のみを記録します。

データの初期化

以下はテストデータを初期化するサービスです。

async function initData() {
  const user1 = new User();
  user1.username = 'Alice';
  user1.password = 'aaaaaa';

  const user2 = new User();
  user2.username = 'Bob';
  user2.password = 'bbbbbb';

  const user3 = new User();
  user3.username = 'Charlie';
  user3.password = 'cccccc';

  const role1 = new Role();
  role1.name = 'Administrator';

  const role2 = new Role();
  role2.name = 'Regular User';

  const permission1 = new Permission();
  permission1.name = 'Add resource_a';

  const permission2 = new Permission();
  permission2.name = 'Edit resource_a';

  const permission3 = new Permission();
  permission3.name = 'Delete resource_a';

  const permission4 = new Permission();
  permission4.name = 'Query resource_a';

  const permission5 = new Permission();
  permission5.name = 'Add resource_b';

  const permission6 = new Permission();
  permission6.name = 'Edit resource_b';

  const permission7 = new Permission();
  permission7.name = 'Delete resource_b';

  const permission8 = new Permission();
  permission8.name = 'Query resource_b';

  role1.permissions = [
    permission1,
    permission2,
    permission3,
    permission4,
    permission5,
    permission6,
    permission7,
    permission8,
  ];

  role2.permissions = [permission1, permission2, permission3, permission4];

  user1.roles = [role1];

  user2.roles = [role2];

  await this.entityManager.save(Permission, [
    permission1,
    permission2,
    permission3,
    permission4,
    permission5,
    permission6,
    permission7,
    permission8,
  ]);

  await this.entityManager.save(Role, [role1, role2]);

  await this.entityManager.save(User, [user1, user2]);
}

ブラウザまたは Postman を使用してinitDataサービスを実行すると、データがデータベースに入力されます。


これで基本的な権限構造が整ったので、登録、ログイン、JWT 認証などの機能を実装する準備が整いました。

ぜひ試してみてください!


私たちはLeapcell、NestJSプロジェクトのクラウドデプロイの最適解です。

Leapcell

Leapcellは、Webホスティング、非同期タスク、Redis向けの次世代サーバーレスプラットフォームです:

複数言語サポート

  • JavaScript、Python、Go、Rustで開発できます。

無制限のプロジェクトデプロイ

  • 使用量に応じて料金を支払い、リクエストがなければ料金は発生しません。

比類のないコスト効率

  • 使用量に応じた支払い、アイドル時間は課金されません。
  • 例: $25で6.94Mリクエスト、平均応答時間60ms。

洗練された開発者体験

  • 直感的なUIで簡単に設定できます。
  • 完全自動化されたCI/CDパイプラインとGitOps統合。
  • 実行可能なインサイトのためのリアルタイムのメトリクスとログ。

簡単なスケーラビリティと高パフォーマンス

  • 高い同時実行性を容易に処理するためのオートスケーリング。
  • ゼロ運用オーバーヘッド — 構築に集中できます。

ドキュメントで詳細を確認!

Xでフォローする:@LeapcellHQ


ブログでこの記事を読む

Discussion