251122:1700 Phase 4

backend/src/common/guards/jwt-auth.guard.ts

@@ -0,0 +1,5 @@
+import { Injectable } from '@nestjs/common';
+import { AuthGuard } from '@nestjs/passport';
+
+@Injectable()
+export class JwtAuthGuard extends AuthGuard('jwt') {}

backend/src/common/guards/jwt.strategy.ts

@@ -0,0 +1,34 @@
+import { ExtractJwt, Strategy } from 'passport-jwt';
+import { PassportStrategy } from '@nestjs/passport';
+import { Injectable } from '@nestjs/common';
+import { ConfigService } from '@nestjs/config';
+
+// Interface สำหรับ Payload ใน Token
+interface JwtPayload {
+  sub: number;
+  username: string;
+}
+
+import { UserService } from '../../modules/user/user.service.js';
+
+@Injectable()
+export class JwtStrategy extends PassportStrategy(Strategy) {
+  constructor(
+    configService: ConfigService,
+    private userService: UserService,
+  ) {
+    super({
+      jwtFromRequest: ExtractJwt.fromAuthHeaderAsBearerToken(),
+      ignoreExpiration: false,
+      secretOrKey: configService.get<string>('JWT_SECRET')!,
+    });
+  }
+
+  async validate(payload: JwtPayload) {
+    const user = await this.userService.findOne(payload.sub);
+    if (!user) {
+      throw new Error('User not found');
+    }
+    return user;
+  }
+}

backend/src/common/guards/rbac.guard.ts

@@ -0,0 +1,55 @@
+import {
+  CanActivate,
+  ExecutionContext,
+  Injectable,
+  ForbiddenException,
+} from '@nestjs/common';
+import { Reflector } from '@nestjs/core';
+import { PERMISSION_KEY } from '../decorators/require-permission.decorator.js';
+import { UserService } from '../../modules/user/user.service.js';
+
+@Injectable()
+export class RbacGuard implements CanActivate {
+  constructor(
+    private reflector: Reflector,
+    private userService: UserService,
+  ) {}
+
+  async canActivate(context: ExecutionContext): Promise<boolean> {
+    // 1. ดูว่า Controller นี้ต้องการสิทธิ์อะไร?
+    const requiredPermission = this.reflector.getAllAndOverride<string>(
+      PERMISSION_KEY,
+      [context.getHandler(), context.getClass()],
+    );
+
+    // ถ้าไม่ต้องการสิทธิ์อะไรเลย ก็ปล่อยผ่าน
+    if (!requiredPermission) {
+      return true;
+    }
+
+    // 2. ดึง User จาก Request (ที่ JwtAuthGuard แปะไว้ให้)
+    const { user } = context.switchToHttp().getRequest();
+    if (!user) {
+      throw new ForbiddenException('User not found in request');
+    }
+
+    // 3. (สำคัญ) ดึงสิทธิ์ทั้งหมดของ User คนนี้จาก Database
+    // เราต้องเขียนฟังก์ชัน getUserPermissions ใน UserService เพิ่ม (เดี๋ยวพาทำ)
+    const userPermissions = await this.userService.getUserPermissions(
+      user.userId,
+    );
+
+    // 4. ตรวจสอบว่ามีสิทธิ์ที่ต้องการไหม?
+    const hasPermission = userPermissions.some(
+      (p) => p === requiredPermission || p === 'system.manage_all', // Superadmin ทะลุทุกสิทธิ์
+    );
+
+    if (!hasPermission) {
+      throw new ForbiddenException(
+        `You do not have permission: ${requiredPermission}`,
+      );
+    }
+
+    return true;
+  }
+}