如何在 GraphQL 中实现数据的权限控制

GraphQL 是一种新兴的数据查询语言,越来越多的公司开始使用 GraphQL。在很多场景下,需要对不同的用户或者角色,对于数据的查询或者修改进行权限控制。本文将详细介绍如何在 GraphQL 中实现数据的权限控制。

为什么需要在 GraphQL 中实现数据的权限控制?

在开发 web 应用程序时,我们经常要面临以下场景:

  • 必须限制用户的权限,以确保他们只能访问其拥有的资源。
  • 需要保护资源以确保不受未授权的访问。
  • 用户应只能执行与其角色或权限匹配的操作。

GraphQL 能够良好的解决以上问题,但本身它并不提供权限控制,需要我们自行实现。

如何在 GraphQL 中实现数据权限控制?

  1. 确定数据层次

通过定义类型,GraphQL 构建了关系团结的层次结构。你需要对业务数据建模,并理清业务数据之间的关系。

  1. 鉴别用户权限

在每一个 resolver 中,都可以获取当前请求的用户信息。通过获取用户信息,即可鉴别用户是否拥有操作数据的权限。

例如,通过 JWT token 获取用户信息,其中包含用户角色等信息。

----- ------- - ----- -- -
  ----- ----- - --------------------------
  -- ------- -
    --- -
      ------ ----------------- ------------------------
    - ----- ----- -
      ----- --- ------------------------- ------- --- -------- ------ ----- ---------
    -
  -
--
  1. 分配角色和权限

通过 GraphQL 的 schema 指令 可以方便的分配角色和权限。

例如,我们希望只有管理员才能变更文章信息。

---- -------- -
  ----------------- ---- ------ ------------- 
    -------------- -------- 
    ------------------------- ---------------
    - -------
-

定义 hasRole 和 validateInput 两个指令。

-- ------- -----
----- ---------------- - -
  -------- ----- ------- ---------------------- -
    --------------------------- ---- -
      ----- ------------ - ---------------
      ----- ---- - --------------

      ------------- - -------- ----- -------- ----- -- -
        ----- - ---- - - -------------
        -- ----- --- ------------- -
          ----- --- ---------- ---- ---- --------------- ---------- -- ----------
        -
        ------ ------------ ----- -------- ------
      --
    -
  --
  
  -- ------------- -----
  -------------- ----- ------- ---------------------- -
    -------------------------------- ---- -
      ----- ----------------- - --------------------
      ----- ---- - --------------

      ------------- - -------- ----- -------- ----- -- -

        ----- - ---- - - -----------
        -- ---------------- --- ------------------ -
          ----- --- -------------- ----- ----- -------- -----------------------
        -
        ------ ------------ ----- -------- ------
      --
    -
  -
--

通过自定义指令,即可完成代码中的权限控制。validateInput 的指令主要用于对输入数据进行校验。

  1. 过滤查询结果

在某些情况下,管理员可能需要查看所有用户的信息,但普通用户只能查看自己的信息。这时,我们需要在 resolver 中对结果进行控制。

----- --------------- ---- ----- ---- -------- ---- ----- ---- -
  ----- ----------- - -------------
  -- ------------ --- -------- - -- ----------------------
    ------ ----- ----------- ---- -------------- ---
  -
  ------ ----- ------------ -- ----------------------
-

总结

在 GraphQL 中,由于其强大的类型系统和 schema 指令,我们可以非常方便的在 GraphQL 中实现数据权限控制。本文介绍了如何通过自定义指令,在 resolver 中进行权限控制,以及如何过滤查询结果。

GraphQL 的权限控制需要在后端开发中实现,这也是其与 RESTful API 不同的一点。每个 resolver 都需要经过鉴权,虽然会稍稍增加一点工作量,但是在保护用户隐私和保护系统安全方面是至关重要的。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/649be2ec48841e98948a537d

阅读全文

猜你喜欢

  • JavaScript 错误机制从基础到进阶(全面升级)

    JavaScript 是一种动态语言,其非常容易出现错误,如果出现错误,会导致程序崩溃甚至死循环等严重问题。因此,了解 JavaScript 的错误机制是我们必须掌握的一项技能。

    1 年前
  • Deno 中的 WebSocket 异常处理

    WebSocket 是前端进行实时通讯的常用技术之一,而 Deno 是近年来兴起的基于 TypeScript 的运行时环境。本文将介绍在 Deno 中如何使用 WebSocket 进行实时通讯,并讨论...

    1 年前
  • 利用 CSS Flexbox 实现图片等比例缩放的技巧和方法

    当我们在前端开发中需要对图片进行缩放时,常常需要保持图片的原始比例。这时,可以利用 CSS Flexbox 实现图片等比例缩放的效果,而不需要使用 JavaScript 或其他技术。

    1 年前
  • 使用 Socket.io 进行实时地图更新

    Socket.io 是 Node.js 中常用的实时通信库,用于实现客户端与服务器之间的双向通信。在前端开发中,我们可以使用 Socket.io 来实现实时地图更新功能,让用户可以在实时地图上查看其它...

    1 年前
  • 如何使用 Enzyme 和 Jest 测试 React 组件中的条件渲染?

    1. 前言 在 React 中,条件渲染是一种常见的技术。它通过判断某些条件,然后选择性地渲染不同的组件结构。但是,如何测试这种条件渲染呢?在本篇文章中,我们将会介绍如何使用 Enzyme 和 Jes...

    1 年前
  • 使用 Chai 进行测试时,如何判断一个字符串是否是指定长度?

    在前端开发中,测试是一个非常重要的环节,可以帮助开发人员发现潜在的问题,提高代码的质量和可维护性。Chai 是一个流行的 JavaScript 测试框架,可以用来编写断言和测试代码。

    1 年前
  • 如何在 Fastify 中实现请求缓存

    在前端开发中,请求缓存是一个常见而重要的功能,可以有效地缩短页面加载时间,减轻服务器负担,提升用户体验。本文将介绍如何在 Fastify 中实现请求缓存的方法,并给出精简而实用的示例代码,帮助读者更好...

    1 年前
  • 使用 ES8 中新增的 Object.getOwnPropertyDescriptors() 方法解决 JavaScript 面向对象编程中继承和类定义的问题

    JavaScript 作为一种面向对象编程语言,经常要用到继承和类定义。但是,JavaScript 的原型链继承方式不太符合我们平常在其他语言中所熟悉的继承方式。同时,JavaScript 也没有内置...

    1 年前
  • 如何使用 Node.js 进行全文搜索

    背景介绍 在现代的 Web 开发中,搜索功能是必不可少的。常见的网站如百度、Google、Bing 等都具有强大的搜索能力。在网站或后台系统中,甚至会涉及到对大量文档、日志等大量文本数据的存储和搜索。

    1 年前
  • PM2 与 keepalived 架高可用 Node.js 服务

    在现代互联网应用中,高可用性是至关重要的。为了保证服务的稳定性和可靠性,我们需要采取一些措施来防止服务出现单点故障和宕机。本文将介绍如何使用 PM2 和 keepalived 构建高可用的 Node....

    1 年前
  • 使用 Jest 和 Enzyme 测试 React Native 文本组件

    React Native 是一种跨平台的框架,它可以帮助开发者快速开发高质量的原生应用程序。在 React Native 中,文本组件是最基本的组件类型之一,因此测试这些组件非常重要。

    1 年前
  • 如何在 TailwindCSS 中实现浮动元素的响应式布局?

    如何在 TailwindCSS 中实现浮动元素的响应式布局? TailwindCSS 是一款强大的 CSS 框架,它提供了许多有用的类,可以让我们快速地编写 CSS 样式。

    1 年前
  • 使用 Serverless 构建完全无服务器的 Web 应用程序(教程)

    在现代 Web 开发中,构建无服务器的 Web 应用程序已经成为了一个趋势。Serverless 架构使用云计算服务平台,无需操作系统或者服务器,让您能够构建可扩展且高可用的应用程序。

    1 年前
  • Redux 插件开发:轻松扩展 Redux 功能

    随着前端技术的不断发展,Redux 作为一种流行的状态管理库已经成为了开发人员不可或缺的工具之一。然而,由于业务需求复杂性的不断增加,Redux 的默认功能有时可能不够满足我们的开发需求。

    1 年前
  • React Native 中如何使用 Fetch 进行网络请求

    随着移动互联网的发展,移动应用越来越普及,对前端技术有着越来越高的要求。React Native 作为一种跨平台的移动应用开发框架,受到了广泛的关注和使用。在 React Native 中,使用 Fe...

    1 年前
  • ES6 中的 Object 扩展技巧

    随着 web 技术的不断发展,前端开发也越来越重要。现代前端开发需要运用大量的 JavaScript 代码,而 ES6 中的 Object 扩展技巧可以帮助我们更高效地编写代码。

    1 年前
  • SASS 与 Gulp 的协作使用指南

    前言 前端开发工具越来越多样化,我们可以通过使用一些框架和工具来优化和简化我们的工作流程。其中,SASS 和 Gulp 是一种非常实用的组合,它们能够帮助我们加速开发过程,提高代码的可维护性和可扩展性...

    1 年前
  • Docker Compose 中配置 SSL 证书的方法

    在前端开发中,为了保证网站的安全性和数据传输的加密性,通常会使用 SSL 证书。当我们使用 Docker Compose 构建多个容器的应用时,如何配置 SSL 证书就成了一个重要的问题。

    1 年前
  • Koa2 实战:使用 koa-convert 兼容旧版本中间件

    在使用 Koa2 进行 Web 开发时,旧版本的中间件可能无法直接在 Koa2 中使用。此时,我们可以使用 koa-convert 进行中间件兼容处理,让旧版中间件也能在 Koa2 中运行。

    1 年前
  • Sequelize 数据迁移遇到的坑与解决方案

    在前端开发过程中,数据库是一个不可或缺的组件,而 Sequelize 是一种优秀的 ORM(对象关系映射)框架,我们通常使用它来操作数据库的表。在项目开发过程中,难免会涉及到数据库迁移的问题,本文将介...

    1 年前

相关推荐

    暂无文章