GraphQL 是一种新兴的 API 查询语言,它通过定义类型和查询语句,并在后端实现相应的操作来帮助前端开发人员更好地访问数据。与传统的 RESTful API 不同,GraphQL 具有更好的可立即性和可定制性,是一个富有潜力的工具,因此受到了许多前端开发人员的关注。但是,在实际应用中,如何进行身份认证和授权,是许多开发人员面临的挑战。本文将介绍 GraphQL 中的认证与授权,为大家提供一些深度的认识和实践指导。
认证(Authentication)
用户身份认证是 Web 应用程序中非常重要的一部分。在基于 GraphQL 的 Web 应用程序中,最常见的身份验证方法之一是使用 JSON Web Tokens(JWT)。这是一种用于安全传输信息的开放标准。 JWT 由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。负载中包含所需的用户信息,例如用户 ID、用户名、角色等等。签名则使用预先共享的密钥对负载进行加密,以确保数据的安全性。客户端在将请求发送到 GraphQL 服务端之前,通常需要在请求头中携带 JWT 的令牌信息。
下面是一个使用 JWT 进行身份验证的 GraphQL 查询示例:
query {
currentUser {
id
name
email
}
}客户端需要在请求头中加入 JWT,示例如下:
{
"Authorization": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...."
}在 GraphQL 服务端中,需要针对每个请求进行身份验证。最常见的方式是使用中间件,例如 express-jwt。下面是一个使用 apollo-server-express 和 express-jwt 的示例代码:
-- -------------------- ---- -------
----- ------- - -------------------
----- - ------------ - - ---------------------------------
----- --- - -----------------------
----- ---- - ----------------
----- -------- - --------------------
----- --------- - -----------------------
----- - ----- - - -------------------------
----- --- - ----------
----------------
--------
-----
------- ---------------------- -- ------------
-------------------- ------
----------- ---------
--
--
----- ------ - --- --------------
---------
----------
-------- ----- -- --- -- -- -
----- -- - ----- -----------
------ - -- --
-
---
------------------------ --- ---
------------ ----- ---- -- -- --
------------------- ----- -- --------------------------------------------
--上述代码中,我们使用了 express-jwt 中间件,对请求进行身份验证。如果验证通过,则通过 getMe 方法获取当前用户的信息,并在 context 中传递给 GraphQL 解析器。
-- -------------------- ---- -------
----- ----- - ----- ----- -- -
----- ----- - ---------------------------------- ------
-- ------- -
--- -
------ ----------------- ---------------------- -- -------------
- ----- ------- -
----- --- ------------------------- ------- -------- ---- -- ---------
-
-
--在上述代码中,我们从请求头中获取 JWT 的令牌信息,并使用预先共享的密钥对其进行验证。如果验证通过,则返回包含用户信息的 Token,否则抛出一个错误。
授权(Authorization)
认证只是确认用户的身份是否有效,而授权则是决定用户是否有权进行某项操作。在 GraphQL 中,对于具体的数据操作,我们需要考虑 Who(谁执行操作)、to what(执行什么操作)以及 How(如何执行操作)的问题。
例如,我们有一个查询当前用户的信息的查询:
query {
currentUser {
id
name
email
}
}我们需要判断当前用户是否有权访问自己的数据,如果是管理员,则可以访问任何用户的数据。
在 GraphQL 中,通常使用自定义指令来实现授权功能。下面是一个定义 @allow 指令的 GraphQL schema 示例代码:
-- -------------------- ---- ------- --------- ------------- --------- -- ---------------- ---- ----- - ------------ ----- ------------- --------- -------- - ---- ---- - --- --- ----- ------- ------ ------- --- -
在上述定义的 @allow 指令中,我们定义了一组角色 roles,该指令将被应用于 currentUser 字段。如果当前用户具有 roles 中列出的一个角色,则有权限执行查询,如果没有,则无法执行该查询。
实现自定义指令需要使用如下方法:
-- -------------------- ---- ------- ----- - -------------- ---------------- - - ------------------- ----- -------------- - --------------------------------------- ----- ------ - --- --------------- -- ------ ---- -------- --- --------- -- --- -- ------ ---- ------ --------- ----------- ---- ------------------ ----- -------- ---------- --------------------- ----- - ------ - ----- -------------------------- - - --- ---
上述代码中,我们定义了一个 AllowDirective 类,该类定义了 @allow 指令的行为。
-- -------------------- ---- -------
----- -------------- ------- ---------------------- -
--------------------------- -
----- - ----- - - ----------
----- - ------- - -------------------- - - ------
------------- - ----------------- -
----- -- - - -- -- - -----
-- ----- -
----- --- ------------------------ ----------------
-
-- ------ -- ---------------------- --- --- -
----- --- ------------------- ----- ---- ---------- -- ------ ---- ------------
-
------ ------------------- ------
--
-
-在上述代码中,我们定义了 visitFieldDefinition 方法,该方法实现了 @allow 指令的权限验证逻辑。如果当前用户未经过身份验证,则抛出 Not authenticated 错误,如果当前用户的角色不在 roles 中,则抛出 ForbiddenError 错误。
总结
在本文中,我们介绍了 GraphQL 中的认证和授权,在实际应用中非常重要。我们通过 JWT 和自定义指令的方式实现了身份验证和授权,并提供了示例代码。当然,这只是其中的一部分,对于更复杂的身份验证和授权场景,开发人员需要更多的具体实践来完善其实现。我们希望该文可以帮助您更好地掌握 GraphQL 开发中的权限控制。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/64c0f8cf83d39b48815547de