Как реализовать RBAC (Role-Based Access Control) в Node.js?

RBAC: User → Role → Permissions. Роли в JWT payload или в БД. Guard в NestJS: @Roles("admin") на эндпоинте, RolesGuard проверяет req.user.roles. В Express: middleware checkRole("admin"). Permissions-based (ABAC) гибче ролей. casl — популярная библиотека для Node.js: can("create", "Post"). Правило: проверяй на уровне сервиса тоже, не только на уровне роутера. В запросах к БД фильтруй по owner: WHERE userId = req.user.id (не доверяй параметру URL без проверки).