Hitelesítési protokollok NestJS szemmel – OIDC, OAuth2, SAML2

A modern webalkalmazások egyik legkritikusabb része a hitelesítés és az autorizáció. Az alkalmazások közötti kommunikáció, a felhasználói fiókok védelme, valamint a biztonságos API-hozzáférés mind megköveteli, hogy szabványos protokollokra támaszkodjunk. NestJS-ben többféle lehetőségünk van ezek integrálására, hiszen a keretrendszer moduláris felépítése és a Passport.js integráció kiválóan illeszkedik a legtöbb megoldáshoz.

Ebben a cikkben áttekintjük a legelterjedtebb protokollokat – OIDC, OAuth2 és SAML2 –, és megnézzük, hogyan közelíthetők meg NestJS környezetben.

OAuth 2.0 – Az API-k kapuőre

OAuth 2.0 egy autorizációs protokoll, amely főleg erőforrásokhoz való hozzáférést szabályoz. Nem hitelesítésre találták ki, de gyakran így is használják. A legismertebb példák a "Bejelentkezés Google/Facebook fiókkal" típusú integrációk.

  • Fő elemei:

    • Authorization Server – kiadja a hozzáférési tokeneket

    • Resource Server – az erőforrást szolgáltató API

    • Client – az alkalmazás, amely a tokennel akar hozzáférni

    • Resource Owner – a felhasználó

  • Tipikus NestJS megoldás:

    • Használhatjuk a @nestjs/passport csomagot és egy OAuth2 stratégiát (pl. passport-google-oauth20, passport-github2).

    • A szerver az OAuth2 Provider (Google, GitHub, Auth0, Keycloak stb.) által kiadott access token-t fogja ellenőrizni.

    • A NestJS oldalon írhatsz egy JWT guardot vagy használhatod a meglévő Passport guardokat a token validálására.

OpenID Connect (OIDC) – A hitelesítés modern szabványa

OpenID Connect (OIDC) az OAuth2-re épül, de kiegészíti azt hitelesítési képességekkel. Nemcsak azt szabályozza, hogy valaki hozzáférhet-e az erőforráshoz, hanem azt is, hogy ki a felhasználó.

Az OIDC tokenek között található az ID Token (általában JWT formátumban), amely tartalmazza a felhasználó azonosító adatait.

  • Fő előnyei:

    • Széles körben támogatott (Google, Microsoft Azure AD, Keycloak, Auth0 stb.)

    • Könnyen illeszthető Single Sign-On (SSO) környezetbe

    • Modern, JSON/JWT-alapú megközelítés

  • Tipikus NestJS megoldás:

    • Használhatod az @nestjs/passport + passport-openidconnect vagy passport-azure-ad stratégiákat.

    • A visszatérő id_token-t egy JwtStrategy-vel dolgozhatod fel.

    • Ha enterprise környezetben vagy, gyakran Keycloak vagy Auth0 kerül elő, ahol az OIDC beállítása viszonylag egyszerű.

SAML 2.0 – A régi motoros

Security Assertion Markup Language (SAML 2.0) egy XML-alapú hitelesítési és autorizációs szabvány, amelyet gyakran vállalati környezetben (SSO, Active Directory, enterprise identity provider) használnak.

  • Jellemzői:

    • Az IdP (Identity Provider) ad ki egy XML-alapú "assertion"-t, ami igazolja, hogy a felhasználó ki ő.

    • Főleg Single Sign-On (SSO) megoldásokban elterjedt.

    • Nehézkesebb, mint az OIDC, de még mindig rengeteg vállalatnál kötelező.

  • Tipikus NestJS megoldás:

    • Léteznek passport-saml integrációk, amiket beépíthetsz egy NestJS modulba.

    • A SAML által küldött XML assertiont a stratégia validálja, majd NestJS oldalon a felhasználói session-t/jwt-t hozod létre.

    • Általában egy köztes réteget kell kialakítani: SAML → NestJS API → JWT a frontend felé.

NestJS integrációs minták

A NestJS legnagyobb előnye, hogy tisztán moduláris szerkezetben tudod kezelni a hitelesítést. Tipikus megoldás:

  1. AuthModule – tartalmazza a Passport stratégiákat, Guardokat, és az AuthService-t.

  2. Guards – pl. JwtAuthGuard, Oauth2Guard, SamlAuthGuard.

  3. Custom Decorators – pl. @CurrentUser() a requestből kinyert felhasználói objektumhoz.

  4. Strategy-k – különböző protokollokhoz:

    • JwtStrategy (OIDC és OAuth2 tokenekhez)

    • SamlStrategy (SAML assertion feldolgozására)

    • LocalStrategy (klasszikus email/jelszó auth-hoz)

Mikor melyiket?

  • OAuth2 – Ha csak API hozzáférést akarsz szabályozni, pl. harmadik fél kliensalkalmazásai.

  • OIDC – Ha modern, szabványos felhasználói hitelesítést és SSO-t szeretnél.

  • SAML2 – Ha régebbi vállalati környezethez kell integrálódni, különösen Active Directory vagy enterprise IdP esetén.

Összefoglalva:
NestJS-ben mindhárom protokoll könnyen illeszthető Passport stratégiákon keresztül. Ha új fejlesztést indítasz, az OIDC a legjobb választás, mert modern, jól támogatott, és egyszerre oldja meg a hitelesítést és az autorizációt.

Location: Hungary

Comments

Post a Comment

Popular posts from this blog

RxJS Operátorok

RxJS Operátorok: concatMap, mergeMap, switchMap, exhaustMap Az RxJS egyik legfontosabb funkciója az operátorok használata, amelyek lehetővé teszik az Observable-ek átalakítását és kezelését. Ebben a cikkben a concatMap , mergeMap , switchMap és exhaustMap operátorokat vizsgáljuk meg, és mindegyikhez mutatunk egy egyszerű, futtatható példát. 1. concatMap A concatMap sorban hajtja végre a belső Observable-eket. Amíg egy belső Observable nem fejeződik be, nem kezdi el a következő hívást. Használat: Jó választás, ha a műveleteket sorban szeretnénk végrehajtani. Megőrzi az események sorrendjét. Példa: import { of, interval } from 'rxjs'; import { concatMap, take } from 'rxjs/operators'; of(1, 2, 3).pipe( concatMap(value => interval(1000).pipe(take(2))) ).subscribe(console.log); Kimenet (időben): 0 1 0 1 0 1 (2 másodpercenként új szám indul) 2. mergeMap A mergeMap párhuzamosan futtatja a belső Observable-eket, tehát azonnal indít egy új Observable-t, amint érkezik...
Read more

Bevezetés az NgRx-be

Bevezetés az NgRx-be – Állapotkezelés Angularban Az NgRx egy Redux-alapú állapotkezelő könyvtár Angular alkalmazásokhoz. Segít az alkalmazás állapotát egy központi helyen tárolni, ezáltal könnyebben kezelhetővé és előrejelezhetővé válik az állapotváltozás. Az NgRx főbb elemei 1. Store (Állapottár) A Store egy központi adattár, amely az alkalmazás állapotát tartalmazza. Az állapot csak egy módon módosulhat: actionökön (akciókon) keresztül. import { createFeature, createReducer, on } from '@ngrx/store' ; import { loadItemsSuccess } from './items.actions' ; export interface ItemsState { items : string []; } const initialState : ItemsState = { items : [], }; export const itemsFeature = createFeature ({ name : 'items' , reducer : createReducer ( initialState, on (loadItemsSuccess, ( state, { items } ) => ({ ...state, items })) ), }); 2. Actions (Akciók) Az actionök olyan objektumok, amelyek egy adott műveletet írnak le. E...
Read more

ng-event-bus

Real-Time Notifications in Angular with ng-event-bus Ever built an Angular app where components needed to communicate without being directly connected? Maybe you wanted a global notification system  that updates instantly, no matter where the user is in your app? That’s where `ng-event-bus` shines. It acts as a lightweight event bus, letting different parts of your application talk to each other seamlessly. In this article, we’ll build a real-time notification system using `ng-event-bus`—no messy service injections, no complex state management. Why Use ng-event-bus ? Let’s face it: passing data between unrelated components in Angular can be a headache. Services with `Subject` and `BehaviorSubject` from RxJS work, but they require dependency injection, which isn’t always convenient. `ng-event-bus` provides a simple, global event system that makes component communication effortless. It’s great for: ✅ Notifications (like we’ll build today!). ✅ Inter-component communication without tig...
Read more