NestJSを使ったRBAC権限システムの設計:手順を追ったガイド
前書き
バックエンド管理システムでは、アクセス制御や個別のユーザーインターフェイスが必須です。例えば、スーパ管理者はすべてのページを閲覧でき、通常ユーザーは A および B ページにアクセスでき、VIP ユーザーは A、B、C、D ページを閲覧できます。これらの機能の背後には、以下の 3 つの重要な概念が設計されています。
- ユーザー: 基本的な単位、例: Alice、Bob、Charlie。
- ロール: ユーザーは 1 つ以上のロールを持つことができます。例えば、Alice は通常ユーザーと VIP の両方のロールを持つ場合があります。
- 権限: ロールには複数の権限が関連付けられています。例えば、VIP ロールは「閲覧」、「編集」、「追加」の権限を持つことができますが、スーパ管理者は「閲覧」、「編集」、「追加」、「削除」の権限を持つことができます。
これらの関係は以下の図で示すことができます。
次に、Nest
を使用して、このようなシステムの基盤である権限設計をゼロから実装します。
データベースの作成
まず、データベースを作成する必要があります。ここでは、MySQL
データベースを使用し、次のコマンドを実行して作成します。
CREATE DATABASE `nest-database` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
プロジェクトの初期化
以下のコマンドを実行して、新しいNest
プロジェクトを開始します。
nest new nest-project
次に、データベース関連の依存関係をインストールします。主にtypeorm
とmysql2
を使用します。
npm install --save @nestjs/typeorm typeorm mysql2
次に、typeorm
の設定をapp.module.ts
に追加します。
import { Module } from '@nestjs/common';
import { AppController } from './app.controller';
import { AppService } from './app.service';
import { TypeOrmModule } from '@nestjs/typeorm';
@Module({
imports: [
TypeOrmModule.forRoot({
type: 'mysql',
host: 'localhost',
port: 3306,
username: 'root',
password: 'password',
database: 'nest-database',
synchronize: true,
logging: true,
entities: [__dirname + '/**/*.entity{.ts,.js}'],
poolSize: 10,
connectorPackage: 'mysql2',
}),
],
controllers: [AppController],
providers: [AppService],
})
export class AppModule {}
テーブル設計
一般的に、RBAC(Role-Based Access Control)システムでは、以下の 5 つのテーブルが使用されます。
-
ユーザーテーブル (
user
): ユーザー名、パスワード、メールアドレスなどの基本情報を保存。 -
ロールテーブル (
role
): ロール名、ロールコードなどの基本情報を保存。 -
権限テーブル (
permission
): 権限名、権限コードなどの基本情報を保存。 -
ユーザーとロールの関連テーブル (
user_role_relation
): ユーザーとロールの関係を記録。 -
ロールと権限の関連テーブル (
role_permission_relation
): ロールと権限の関係を記録。
以下はドメインモデルの図です。
次に、Nest
で 3 つの非関連テーブルを作成し、それらの関係を定義します。
user.entity.ts
:
import {
Column,
CreateDateColumn,
Entity,
JoinTable,
ManyToMany,
PrimaryGeneratedColumn,
UpdateDateColumn,
} from 'typeorm';
import { Role } from './role.entity';
@Entity()
export class User {
@PrimaryGeneratedColumn()
id: number;
@Column({
length: 50,
})
username: string;
@Column({
length: 50,
})
password: string;
@CreateDateColumn()
createTime: Date;
@UpdateDateColumn()
updateTime: Date;
@ManyToMany(() => Role)
@JoinTable({
name: 'user_role_relation',
joinColumn: {
name: 'userId',
referencedColumnName: 'id',
},
inverseJoinColumn: {
name: 'roleId',
referencedColumnName: 'id',
},
})
roles: Role[];
}
User
テーブルでは、roles
フィールドがuser_role_relation
テーブルと接続されます。関係のロジックは次のとおりです: user.id === userRoleRelation.userId
およびrole.id === userRoleRelation.roleId
。条件を満たすRole
レコードがUser
に自動的に関連付けられます。
role.entity.ts
:
import {
Column,
CreateDateColumn,
Entity,
JoinTable,
ManyToMany,
PrimaryGeneratedColumn,
UpdateDateColumn,
} from 'typeorm';
import { Permission } from './permission.entity';
@Entity()
export class Role {
@PrimaryGeneratedColumn()
id: number;
@Column({
length: 20,
})
name: string;
@CreateDateColumn()
createTime: Date;
@UpdateDateColumn()
updateTime: Date;
@ManyToMany(() => Permission)
@JoinTable({
name: 'role_permission_relation',
joinColumn: {
name: 'roleId',
referencedColumnName: 'id',
},
inverseJoinColumn: {
name: 'permissionId',
referencedColumnName: 'id',
},
})
permissions: Permission[];
}
Role
テーブルのpermissions
フィールドも同様に機能します。関係のロジックは次のとおりです: role.id === rolePermissionRelation.roleId
およびpermission.id === rolePermissionRelation.permissionId
。
permission.entity.ts
:
import {
Column,
CreateDateColumn,
Entity,
PrimaryGeneratedColumn,
UpdateDateColumn,
} from 'typeorm';
@Entity()
export class Permission {
@PrimaryGeneratedColumn()
id: number;
@Column({
length: 50,
})
name: string;
@Column({
length: 100,
nullable: true,
})
desc: string;
@CreateDateColumn()
createTime: Date;
@UpdateDateColumn()
updateTime: Date;
}
Permission
テーブルには関係がなく、利用可能な権限のみを記録します。
データの初期化
以下はテストデータを初期化するサービスです。
async function initData() {
const user1 = new User();
user1.username = 'Alice';
user1.password = 'aaaaaa';
const user2 = new User();
user2.username = 'Bob';
user2.password = 'bbbbbb';
const user3 = new User();
user3.username = 'Charlie';
user3.password = 'cccccc';
const role1 = new Role();
role1.name = 'Administrator';
const role2 = new Role();
role2.name = 'Regular User';
const permission1 = new Permission();
permission1.name = 'Add resource_a';
const permission2 = new Permission();
permission2.name = 'Edit resource_a';
const permission3 = new Permission();
permission3.name = 'Delete resource_a';
const permission4 = new Permission();
permission4.name = 'Query resource_a';
const permission5 = new Permission();
permission5.name = 'Add resource_b';
const permission6 = new Permission();
permission6.name = 'Edit resource_b';
const permission7 = new Permission();
permission7.name = 'Delete resource_b';
const permission8 = new Permission();
permission8.name = 'Query resource_b';
role1.permissions = [
permission1,
permission2,
permission3,
permission4,
permission5,
permission6,
permission7,
permission8,
];
role2.permissions = [permission1, permission2, permission3, permission4];
user1.roles = [role1];
user2.roles = [role2];
await this.entityManager.save(Permission, [
permission1,
permission2,
permission3,
permission4,
permission5,
permission6,
permission7,
permission8,
]);
await this.entityManager.save(Role, [role1, role2]);
await this.entityManager.save(User, [user1, user2]);
}
ブラウザまたは Postman を使用してinitData
サービスを実行すると、データがデータベースに入力されます。
これで基本的な権限構造が整ったので、登録、ログイン、JWT 認証などの機能を実装する準備が整いました。
ぜひ試してみてください!
私たちはLeapcell、NestJSプロジェクトのクラウドデプロイの最適解です。
Leapcellは、Webホスティング、非同期タスク、Redis向けの次世代サーバーレスプラットフォームです:
複数言語サポート
- JavaScript、Python、Go、Rustで開発できます。
無制限のプロジェクトデプロイ
- 使用量に応じて料金を支払い、リクエストがなければ料金は発生しません。
比類のないコスト効率
- 使用量に応じた支払い、アイドル時間は課金されません。
- 例: $25で6.94Mリクエスト、平均応答時間60ms。
洗練された開発者体験
- 直感的なUIで簡単に設定できます。
- 完全自動化されたCI/CDパイプラインとGitOps統合。
- 実行可能なインサイトのためのリアルタイムのメトリクスとログ。
簡単なスケーラビリティと高パフォーマンス
- 高い同時実行性を容易に処理するためのオートスケーリング。
- ゼロ運用オーバーヘッド — 構築に集中できます。
Xでフォローする:@LeapcellHQ
Discussion