Graphql 权限控制的最佳实践

随着 Graphql 的逐渐流行,越来越多的前端工程师开始使用 Graphql 进行后端数据的查询和操作。但随之而来的问题是如何进行权限控制,确保只有授权用户才能访问到敏感数据。本文将介绍 Graphql 权限控制的最佳实践,深入探讨如何在前端应用中实现权限控制。

Graphql 权限控制的类别

Graphql 权限控制可以分为两类:

  1. Query-level Authorization:Query-level Authorization 是针对查询操作的权限控制,即限制用户查询哪些数据。例如,用户不能访问具有特定字段的数据,或者只能访问特定类型的数据。

  2. Field-level Authorization:Field-level Authorization 是针对字段级别的权限控制,即限制用户查看哪些字段。例如,某些字段只能由特定用户或用户组查看。

通过这两种权限控制,我们可以在前端应用中控制用户所能访问的数据,确保敏感数据只能被授权用户访问。

鉴权方式

Graphql 权限控制常常使用以下两种鉴权方式:

  1. HTTP Header:在每一个请求的 HTTP Header 中增加用户的身份信息。

  2. JWT:使用 JWT 来存储用户的权限信息,每一个请求中都将 JWT 传递给服务端进行鉴权。

我们将使用 HTTP Header 来进行用户身份验证,以下是一种常用的方式:

---- ----- -
  ---------- --------
-

---- ------ -
  --- ---
  ----- -------
  --------------- ------ -------------------------- -----------------
-

--------- -------------------------- -------- -- ----------------

------ -
  ------ -----
-

如上所示,我们在 MyData 类型的 sensitiveField 字段上使用了 @hasPermission 指令。这个指令告诉 Graphql 服务端该字段需要鉴权,而 permission 参数表示该字段所需的权限。

实现鉴权逻辑

现在我们已经知道了 Graphql 权限控制的基本原理,接下来就是实现鉴权逻辑。

在实现鉴权逻辑之前,我们需要确定如何获取用户的身份信息。这里我们假设用户的身份信息包含在请求的 HTTP Header 中。

----- ------ - --- --------------
  -------
  -------- -- --- -- -- -
    ----- ----- - ------------------------- -- ---
    ----- ---- - ---------------
    ------ - ---- --
  --
---

-------- -------------- -
  -- -- ----- -------
-

可以看到,我们在 ApolloServer 的构造函数中定义了 context 函数,该函数会在每一个请求到达服务端之前被调用。context 函数的返回值会作为 resolver 函数的第三个参数,因此我们可以在 resolver 函数中访问到用户的身份信息。

接下来我们需要实现 @hasPermission 指令。

----- ---------------- - -
  -------------- ----- ---------------------- ------- ---------------------- -
    --------------------------- -
      ----- - ------- - -------------------- - - ------
      ----- - ---------- - - ----------

      ------------- - ----- -------- --------- -
        ----- -- - -------- - -----
        ----- - ---- - - --------
        ----- ------------- - --------------------------------------

        -- ---------------- -
          ----- --- ------------- ---------
        -

        ------ ------------------- ------
      --
    -
  -
--

如上所示,我们定义了一个名为 HasPermissionDirective 的指令类,并重写了 visitFieldDefinition 方法。该方法会在解析每个字段的时候进行调用,我们在这里重新定义了字段的解析方法。在新的解析方法中,我们首先获取请求中的用户信息,然后根据请求用户的权限判断是否可以访问该字段,如果没有该字段的权限,则抛出错误。

示例代码

下面是一份完整的示例代码,它演示了如何使用 @hasPermission 指令来实现权限控制。

schema.graphql

---- ----- -
  ---------- --------
-

---- ------ -
  --- ---
  ----- -------
  --------------- ------ -------------------------- -----------------
-

--------- -------------------------- -------- -- ----------------

------ -
  ------ -----
-

server.js

----- - ------------- --- - - -------------------------

----- -------- - ----
  ---- ----- -
    ---------- --------
  -

  ---- ------ -
    --- ---
    ----- -------
    --------------- ------ -------------------------- -----------------
  -

  --------- -------------------------- -------- -- ----------------
--

----- --------- - -
  ------ -
    ---------- -- -- -
      ------ -
        -
          --- ----
          ----- ----- ---
          --------------- ---------- ---- ---
        --
        -
          --- ----
          ----- ----- ---
          --------------- ---------- ---- ---
        --
      --
    --
  --
--

----- ---------------- - -
  -------------- ----- ---------------------- ------- ---------------------- -
    --------------------------- -
      ----- - ------- - -------------------- - - ------
      ----- - ---------- - - ----------

      ------------- - ----- -------- --------- -
        ----- -- - -------- - -----
        ----- - ---- - - --------
        ----- ------------- - --------------------------------------

        -- ---------------- -
          ----- --- ------------- ---------
        -

        ------ ------------------- ------
      --
    -
  -
--

----- ------ - --- --------------
  ---------
  ----------
  -----------------
  -------- -- --- -- -- -
    ----- ----- - ------------------------- -- ---
    ----- ---- - ---------------

    ------ - ---- --
  --
---

-------- -------------- -
  -- -- ----- -------
-

----------------------- --- -- -- -
  ---------------  ------ ------ ----- -- ---------
---

client.js

------ ----- ---- --------
------ -------- ---- ------------
------ - --------------- ---- -------- - ---- -----------------
------ ------ ---- -----------

----- ------------- - ----
  ----- -
    --------- -
      --
      ----
      --------------
    -
  -
--

-------- -------- -
  ----- - -------- ------ ---- - - ------------------------

  -- --------- -
    ------ ----------------------
  -

  -- ------- -
    ------ -----------------
  -

  ------ -
    -------
      -------
        ----
          -----------
          -------------
          ------------- ----------
        -----
      --------
      -------
        -------------------------- -- -
          --- --------------
            ------------------
            --------------------
            ------------------------------
          -----
        ---
      --------
    --------
  --
-

----------------
  --------------- ----------------
    ------- --
  ------------------
  -------------------------------
--

结论

本文介绍了 Graphql 权限控制的最佳实践,包括鉴权方式、权限控制类别和实现细节。我们需要使用 HTTP Header 来进行用户身份验证,使用 @hasPermission 指令来进行权限控制。这些技术的结合可以让我们在前端应用中轻松控制用户所能访问的数据,确保敏感数据只被授权用户所访问。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/66ee6afe6fbf96019721b6ba

阅读全文

猜你喜欢

  • 用 Babel 优化 React 组件性能

    React 是目前最流行的 JavaScript 前端框架之一,但是在复杂的应用程序中,思考如何使组件更高效地渲染是非常重要的。在这篇文章中,我们将介绍如何使用 Babel 来优化 React 组件的...

    3 个月前
  • TypeScript 中如何使用 Mixins

    在 TypeScript 中,Mixins 是一种组合对象的模式,允许一个类从多个类中获得行为。它可以帮助开发者在不需要同时继承多个类或改变原来类继承结构的情况下复用通用代码。

    3 个月前
  • React 常见的错误及其解决方式

    React 是一种流行的 JavaScript 库,它是用于构建用户界面的。它的组件化和单向数据流的模型,使得它非常受欢迎。然而,它也很容易出错。在这篇文章中,我们将探讨 React 中一些常见的错误...

    3 个月前
  • 如何实现 JavaScript 性能优化?

    在 Web 开发中,JavaScript 是不可或缺的一部分。然而,在 JavaScript 的编写过程中,我们必须保证它不仅要正确,还要具有良好的性能。因为浏览器不仅需要解释我们编写的 JavaSc...

    3 个月前
  • PWA 应用中如何优化图片加载速度

    当用户访问 PWA 应用时,快速加载图片是很重要的一环。在许多情况下,这可能是用户体验的瓶颈。本文将介绍一些技术和最佳实践,以提高 PWA 应用的图片加载速度。 1. 替换图片格式 在 PWA 中使用...

    3 个月前
  • 如何解决 Mongoose 中的 CastError 错误

    在使用 Mongoose 进行 MongoDB 数据库操作时,经常会遇到 CastError 错误,这是因为 Mongoose 对数据类型进行了检查,在类型不匹配时会抛出该错误。

    3 个月前
  • MongoDB 查询慢的解决方法

    引言 MongoDB 是一款流行的 NoSQL 数据库,广泛应用于 Web 开发中。但是,有时我们会遇到 MongoDB 查询变慢的问题,这影响了应用程序性能和用户体验。

    3 个月前
  • Kubernetes 集群搭建详解

    简介 Kubernetes 是 Google 开源的容器编排管理平台,它可以帮助开发人员自动化部署、扩展和管理容器化应用程序。Kubernetes 具有高度可扩展性、高可用性、自我修复能力等特点,也是...

    3 个月前
  • Jest 单元测试遇到 Error: Jest: The module factory of `jest.mock()` is not allowed to reference any out-of-scope variables

    Jest 单元测试遇到 Error:Jest:jest.mock() 的模块工厂不允许引用任何超出作用域的变量 Jest 是一个流行的 JavaScript 测试框架,被广泛应用于前端开发。

    3 个月前
  • ESLint 代码规范之道

    在前端开发中,我们经常需要与大量的 Javascript 代码打交道,如何保证这些代码的可读性、可维护性以及可扩展性呢?一个好的代码规范工具就显得尤为重要了。ESLint 就是这样一个著名的代码规范工...

    3 个月前
  • PM2 如何实现进程的监控告警和预警处理

    前言 在前端开发和运维中,我们通常会使用一些进程管理工具来帮助我们管理我们开发的应用程序。PM2 是一个常用的进程管理工具,它可以帮助我们快速启动、停止、重启、监控应用程序,并且提供一些对进程进行监控...

    4 个月前
  • Mongoose 如何使用 $pull 操作符进行数组元素删除操作

    在开发 Web 应用程序时,我们通常会使用 MongoDB 作为我们的数据存储引擎。Mongoose 是一个基于 MongoDB 的 ODM(对象文档映射)库,它提供了一些非常有用的工具来简化数据库操...

    4 个月前
  • Redux 高阶组件(HOC)的应用场景及实现方法

    Redux 是一个 JavaScript 应用程序的状态容器,它可以让我们管理 JavaScript 应用程序的状态并且可以在应用程序的不同部分进行分享与使用。 HOC 是一种 React 的设计模式...

    4 个月前
  • 如何使用 GraphQL 进行图像分析

    随着人工智能和机器学习的发展,图像分析技术正在成为越来越受关注的领域。在前端开发中,我们通常将图像作为页面中的元素,并通过使用 GraphQL 接口来实现图像分析。

    4 个月前
  • Deno 重要代码片段

    简介 Deno 是一个基于 V8 引擎构建的新一代 JavaScript 运行时环境,由 Node.js 的创始人 Ryan Dahl 开发。它的目标是提供一个安全、稳定、高效的运行时环境,支持 Ja...

    4 个月前
  • 如何正确使用 ES11 的可选链操作符 (?.)

    在前端开发中,我们经常需要处理对象的属性和方法,但有时候我们并不确定这些属性和方法是否存在。在这种情况下,我们常常需要编写一些冗长的代码来进行判断和处理。为了解决这个问题,ES11 提供了可选链操作符...

    4 个月前
  • JavaScript 状态机 - ECMAScript 2019 (ES10) - 掘金

    JavaScript 状态机 - ECMAScript 2019 (ES10) 在前端开发中,状态机(State Machine)是一种非常常见的设计模式,它可以帮助我们更好地管理复杂的状态和行为。

    4 个月前
  • Hapi 框架中如何使用 Catbox 实现缓存的完整指南

    随着 Web 应用程序的不断发展,缓存已成为提高性能和可扩展性的重要组成部分。Hapi 是一个流行的 Node.js Web 应用程序框架,而 Catbox 是一个用于缓存的插件。

    4 个月前
  • JavaScript 纯函数详解 - ECMAScript 2019 (ES10) - IT 牛人博客

    JavaScript 纯函数详解 - ECMAScript 2019 (ES10) 在 JavaScript 中,函数是一等公民,它们可以作为参数传递,也可以作为返回值。

    4 个月前
  • Mocha 中异步测试的异步处理方式

    Mocha 中异步测试的异步处理方式 在前端开发中,测试是非常重要的一环。Mocha 是一个流行的 JavaScript 测试框架,它支持异步测试。本文将介绍 Mocha 中异步测试的异步处理方式,包...

    4 个月前

相关推荐

    暂无文章