GraphQL 上的 JWT 认证

前言

GraphQL 是一种由 Facebook 开发的 API 查询语言，它可以提供更为灵活、高效的 API 查询方式，逐渐成为前端开发中不可或缺的一部分。其中，与安全相关的认证机制是使用 GraphQL 微服务的基础。JWT（JSON Web Tokens）是一种比较常见的认证方式，它通过使用 JSON 数据结构在网络上安全地传递信息，使用广泛。

本篇文章将介绍如何在使用 GraphQL 时实现基于 JWT 的认证机制，以及代码示例。

JWT 简介

JWT 是一种使用 JSON 数据在网络上传递信息的开放标准，主要用于身份验证和在网络应用中传递声明。JWT 可以通过包含用户的身份信息进行认证，数据包含在一个安全的对象中，这个对象可以被数字签名，保证数据的完整性。

JWT 由三个部分组成：头部、载体和签名。头部包含标识加密算法的类型，载体包含用户信息，签名是通过密钥生成的散列值，用于验证信息是否被篡改。

JWT 的使用场景包括为某个 API 授权，替代传统的 cookie 方式进行认证等。需要注意，JWT 不应该存储敏感信息，其主要作用是确认请求的发送方是否被允许使用某个特定的 API。

GraphQL 使用 HTTP 协议处理客户端与服务器间的请求和响应。在 GraphQL 中，认证通常需要进行两次：

1. 客户端与服务器端建立连接时，使用身份验证（注：GraphQL 使用 HTTP 协议，可以使用 HTTP Auth 机制进行身份验证）。
2. 客户端使用查询语句向服务器端请求数据时，需要进行查询身份验证并确认该操作是否被授权。

GraphQL 中可以通过使用 JWT 来实现基于声明的认证机制。实现步骤一般如下：

1. 客户端在 HTTP 头部（header）中发送 JWT，如下：

   Authorization: Bearer <token>

   <token> 表示 JWT。服务器端收到请求后，解析 JWT 中的载体内容，将其中的信息利用上下文对象(payload)传递给身份验证函数。

2. 服务器端使用身份验证函数进行身份验证并判断该操作是否受到授权。

这一认证机制可以在后端中使用 GraphQL API 层级进行设计和实现。可以将该层级看做一系列中间件，用于处理服务器端的请求。

以下是一份实现 GraphQL 上的 JWT 认证机制的 Node.js 代码示例：

1. 首先，引入相关库：

   const { ApolloServer } = require('apollo-server-express');
   const express = require('express');
   const jwt = require('jsonwebtoken');
   const fs = require('fs');

2. 实现身份验证函数：

   -- -------------------- ---- -------
   ----- --------------- - ------- -- -
      --- -
         ----- ---- - -------------------------------- -- ------------
         ----- ---- - ----------------- ------ -- -- ---
         ------ ---- - ---- - ------
      - ----- ----- -
         ------ ------
      -
   --

3. 实现 GraphQL 的 API 层级：

-- -------------------- ---- -------
----- --- - ----------

------------- ----- ---- ----- -- -
  ----- ----- - ------------------------- -- ---

  ----- ------------- - -------------------------------------------- ----- -- ------------

  -- ---------------- -
    ------ --------------------  -- ------- -----------------
  -
  -------
---

----- ------ - --- --------------
  ---------
  ----------
---

------------------------ --- ---

------------ ----- ---- -- -- -- -
  ------------------- ------ ---------
---

总结

通过使用 GraphQL 上的 JWT 认证机制，我们可以实现更加安全、可靠的认证机制。对于 Web 开发人员来说，熟练掌握 JWT 认证技术是必不可少的技能，希望本篇文章能够对您有所帮助。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/66482b95d3423812e46b8e7c