Créer une API REST sécurisée avec NestJS, JWT et rôles utilisateur (Admin, User)

Créer une API REST sécurisée avec NestJS, JWT et rôles utilisateur (Admin, User)

La sécurité est un aspect fondamental dans le développement d'API REST modernes. Dans cet article, nous allons explorer comment créer une API REST sécurisée avec NestJS, en implémentant l'authentification JWT et un système de rôles utilisateur (Admin et User).

1. Initialisation du projet

Commençons par mettre en place notre projet NestJS. Si vous n'avez pas encore installé le CLI NestJS, vous pouvez le faire avec la commande suivante :

Ensuite, créons notre projet :

Installons les dépendances nécessaires pour notre système d'authentification :

Ces packages nous permettront de :

• Générer et vérifier des tokens JWT
• Implémenter des stratégies d'authentification avec Passport
• Hacher les mots de passe avec bcrypt
• Valider les données entrantes avec class-validator
• Gérer les variables d'environnement avec @nestjs/config

2. Création du module d'authentification

Configuration de la base de données

Pour cet exemple, nous utiliserons TypeORM avec une base de données PostgreSQL. Installons les packages nécessaires :

Configurons notre connexion à la base de données dans app.module.ts :

Créons un fichier .env à la racine du projet :

DB_HOST=localhost
DB_PORT=5432
DB_USERNAME=postgres
DB_PASSWORD=votre_mot_de_passe
DB_NAME=nest_auth
DB_SYNC=true
JWT_SECRET=votre_secret_jwt
JWT_EXPIRATION=3600

Création de l'entité User

Créons notre entité User avec support pour les rôles :

Création du module d'authentification

Créons maintenant notre module d'authentification :

Implémentons la logique d'authentification :

Créons un DTO pour la connexion :

Créons un DTO pour l'inscription :

Implémentons le service des utilisateurs :

3. Mise en place du système de rôles

Maintenant, implémentons notre système de contrôle d'accès basé sur les rôles. Créons d'abord une stratégie JWT :

Créons un garde personnalisé pour vérifier les rôles :

Créons un décorateur pour spécifier les rôles requis :

Configurons le module d'authentification :

Configurons le module des utilisateurs :

4. Exemples de routes protégées

Maintenant, implémentons les contrôleurs avec les routes protégées :

Créons le décorateur pour récupérer l'utilisateur actuel :

Créons le contrôleur pour les utilisateurs avec des routes protégées par rôles :

5. Bonus : Gestion des exceptions et validation globale

Configurons la validation globale dans notre application :

Créons un filtre d'exception personnalisé :

Appliquons ce filtre globalement :

Conclusion

Dans cet article, nous avons créé une API REST sécurisée avec NestJS, implémentant l'authentification JWT et un système de contrôle d'accès basé sur les rôles. Nous avons :

1. Configuré un projet NestJS avec base de données PostgreSQL
2. Implémenté un système d'authentification avec JWT
3. Créé un système de rôles (Admin, User)
4. Protégé des routes avec des gardes basés sur les rôles
5. Ajouté la validation des données et la gestion des exceptions

Ce modèle peut être étendu pour répondre à des besoins plus complexes, comme l'ajout de fonctionnalités de :

• Rafraîchissement de tokens
• Vérification d'email
• Récupération de mot de passe
• Journalisation des tentatives de connexion
• Limites de débit pour prévenir les attaques par force brute

Le code complet est disponible sur GitHub.