nestjs 如何优雅地给 response 设置 header？

老老实实用 express/koa，这风格一看就是 java 抄过来的，为什么要用 java 那套东西来复杂化 node.js

@zengming00 #1 我在这里被众人安利 nestjs 😂

token 直接放 json 返回咯

在后端给 response header 设置 token 没有任何意义

供参考：

@Post('login')
async login (@Body() param,@Res res) {
const {username, password} = param
const token =this.authService.validateUser(username, password)
return { token }
}

@Get('/profile')
@UserRequired()
async user (@CurrentUser() user) {
return this.userService.getUser(user.id)
}

实现一下 @UserRequired()和 @CurrentUser()这两个注解即可

@luob #4 怎么会没意义呢，我鉴权用 jwt 来做，就想 token 放在 response header 中给客户端去拿，极其常见的情况

另外你第一段代码试过了吗，你一旦用 @Res 这个装饰器后面 return 就没用了

@rikka 那里是忘了删除，显然不需要 @Req 。

大家都是
客户端从 body 里拿到 token 保存到状态然后把 token 塞进每个请求里
你为什么要
客户端从 header 里挖 token 保存到状态然后把 token 塞进每个请求里


你自己造了个 token/set-token 方案？你都这样玩了为什么不用 set-cookie 呢？

@luob #6

我也没啥特别的啊
仅仅仅就想 token 放 header 里面给客户端拿而已
为什么呢？因为客户端请求的时候会把 token 放在 header，所以为了对称美（狗头），下发 token 也想放 header 里面

@luob #6 还有个好处忘了讲，比方 token 还剩 10 分种就过期了，客户端做其他业务请求的时候我想重新下发一个新 token 给他啊，放 header 里面就就非常合适

业务交互数据放 body
鉴权这种相对特殊的数据放 header

难道不是更常见？

@luob #6 卧槽，还在想怎么实现这个 @CurrentUser，然后就受到启发，我可以自己写个装饰器自己拿到 response 啊

```
export const resp = createParamDecorator((data, ctx: ExecutionContext) => {
return ctx.switchToHttp().getResponse()
})

@Post('login')
async login (@Body() param,@resp() resp:any) {
const data={}
resp.set('token','')
return {data}
}
```

非常非常完美！！！

10L 这样不也一样有副作用，要想最没副作用，那就这个方法就单独做参数处理器，return 出来后，用一个出口方法了 merge 到 resp 上，这样副作用才最小

Nest 的设计就不是无副作用的

@zy445566 #11 我说的副作用是指：只要用了 nestjs 提供的 @Res 装饰器后就不能直接 return 数据了，必须操作 res.json/send 去返回数据，然后这又导致拦截器不能正常工作

你说副作用具体是什么，还是说是指函数式编程中的那种副作用啊

@rikka 嗯，我以为你说的是函数式编程的副作用

@zengming00 赞同

你用了 @Res 注解就会被忽略返回值啊, 这样避免重复操作流....
res.send 不就好了? 非要 return ...

@Kasumi20 #16 我所有的控制器方法都是直接 return 数据，唯独这里不能 return，代码看起来我那个难受啊。。。

写个装饰器，装饰器可以拿到 req res，res 里设置下就行了，例如 @SetToken()，，然后装饰器里面写逻辑，token 从哪里来

```javascript
export const SetCookie = createParamDecorator(
(data: unknown, ctx: ExecutionContext) => {
const response: Response = ctx.switchToHttp().getResponse();
return function(data){
response.cookie('auth',data);
}
},
);
```
参考

@rikka 你这所谓“对称美”本来就是不应该的啊，我是有强迫症的人，我都不会这么考虑，因为不应该

登录接口响应的 token 是作为响应数据存在的，理应放在 body 里
需要鉴权的接口请求的 token 是作为鉴权依据存在的，理应放在 header 里

@BoringTu #20 你说的这个理我也认同

但你考虑下这种情况：客户端做其他业务请求时，服务端发现 token 快过期了，要发个新的给客户端，新 token 放哪里？放 header 最恰当吧

客户端怎么处理这种情况，当然是全局拦截器一发现 header 有 token 就保持起来，然后如果登录请求 token 放 body，那么客户端代码将有 2 处处理 token 的代码逻辑，如果登录 token 放 header，那么将简化为只有一处代码，不管是登录还是其他请求，只要 header 有 token 就保持起来，是不是更简明一点

@hongweiliuruige #19 这跟我 10L 说的差不多

@rikka 这里我的建议是，什么接口就做什么接口应该做的事情，处理 token 就要用专门处理 token 的接口，而不是在业务逻辑接口上插一个系统级的数据，这样会让人有种很脏的感觉

比如你所说的场景，token 过期了，你发起一个业务逻辑的请求，服务器直接打回，响应了一个约定好的代表 token 过期的 code，前端接到这个响应并匹配了 code，就自动发起一个 refresh token 的请求
然后有两种情况：
1. 当新 token 正常响应了之后，前端自动发起之前的业务逻辑请求
2. 如果新 token 获取失败，前端直接踢到登录页

这样不是看起来很干净么？还是遵循那个原则：什么接口就做什么接口应该做的事情

@BoringTu #23 你这建议我觉得很 OK，接受，下个项目可以考虑这么干

目前来讲我是 token 还没过期，但是快过期了，比方一个 token 过期时间 30 天，那么最后 10%的时间，也就是 3 天，最后 3 天有请求就在 header 发个新 token 达到自动续签的目的，这样服务端还是客户端都能在一个地方统一处理 token 问题，要说个优点吧我就觉得这样特别简单轻松

@BoringTu #23 这个方法也是大多数网站的玩法，挺好的。楼主的方法让用户体验更好了，只要他在过期前有用过，就永远都是登录的，这特么不就是 cookie 吗。。。

@galikeoy 对于用户体验来说都是一样的，都是无感刷新登录状态

@BoringTu #26 突然想到另外一个问题，并发的情况

比如客户端同时发 2 个请求过来，服务端检查都快过期了，于是都重新生成 token 给回去了，虽然最终只会保存一个 token,也暂时没导致什么大问题，但这令我不爽了

你的方法好像也有同样的问题：2 个请求同时过来，服务端打回，于是同时发 2 个 refresh token 的请求

请教下怎么考虑这种情况的

哦，我想到了，服务端 token 生成这个操作，独立出来，队列化处理吧

我记得 req 对象上挂载了 res 对象 所以....

可以看看类型声明
node_modules/@nestjs/common/decorators/http/route-params.decorator.d.ts

```typescript
/**
* The `@Response()`/`@Res` parameter decorator options.
*/
export interface ResponseDecoratorOptions {
/**
* Determines whether the response will be sent manually within the route handler,
* with the use of native response handling methods exposed by the platform-specific response object,
* or if it should passthrough Nest response processing pipeline.
*
* @default false
*/
passthrough: boolean;
}
```

简单来说你的场景可以这样玩

```typescript
@Post("/world")
getHello(@Res({ passthrough: true }) response: Response) {
response.setHeader("x-hello", "world");
return { msg: "Hello World!" };
}
```

拦截器也能生效

```typescript
@Injectable()
export class RewritePost201To200Interruptor implements NestInterceptor {
intercept(context: ExecutionContext, next: CallHandler) {
const host = context.switchToHttp();
const request: Request = host.getRequest();
const response: Response = host.getResponse();
return next.handle().pipe(
map((data: unknown) => {
if (response.statusCode === HttpStatus.CREATED && request?.method.toUpperCase() === "POST") {
response.status(HttpStatus.OK);
}
return data;
}),
);
}
}
```

客户端也可以直接拿到返回

@ashe 正解 👍