在 GraphQL 中使用 JWT 进行跨越身份验证-JavaScript中文网-JavaScript教程资源分享门户

GraphQL是一种用于API的查询语言，它提供了一种更有效的方式来获取数据，以及在API中进行数据交互。然而，使用 GraphQL API时，开发人员需要进行身份验证以保护数据。本文将介绍如何使用JWT在GraphQL中实现身份验证。

JWT简介

JWT是JSON Web Tokens的缩写，是一种用于验证和授权的安全标准。它由三个部分组成：头部，载荷和签名。头部包含令牌类型和哈希算法。载荷包含存储在令牌中的信息，例如用户ID和权限。签名是使用密钥进行加密的哈希值，以确保令牌不会被篡改。当客户端向服务器发送请求时，它需要在请求头中包含JWT令牌。服务器会检查令牌是否有效以及用户是否有权限访问所请求的资源。

GraphQL中使用JWT进行跨域身份验证

在GraphQL中使用JWT进行身份验证需要遵循以下步骤：

1.生成令牌

当用户成功登录时，服务器需要生成一个JWT令牌并将其发送回客户端。令牌应该包含用户ID和其他必要信息，例如访问令牌和刷新令牌。以下是一个示例代码：

const jwt = require('jsonwebtoken');
const user = { id: 1, username: 'john.doe' };
const accessToken = jwt.sign(user, 'ACCESS_TOKEN_SECRET');
const refreshToken = jwt.sign(user, 'REFRESH_TOKEN_SECRET');

2.将令牌存储在客户端

客户端应该将访问令牌和刷新令牌存储在本地存储中，例如localStorage。这样，下次访问时，它可以从本地存储中检索令牌，并将其包含在请求头中。以下是一个示例代码：

localStorage.setItem('accessToken', accessToken);
localStorage.setItem('refreshToken', refreshToken);

3.创建GraphQL中间件

服务器应该使用一个中间件来验证JWT令牌。该中间件将检查请求头中的令牌是否有效，并为请求创建User对象，以便可以在GraphQL解析器函数中进行访问控制。以下是一个示例代码：

-- -------------------- ---- -------
----- --- - ------------------------

----- ----------- - ------- ------- -- -
  --- -
    ------ ----------------- --------
  - ----- ----- -
    ------ -----
  -
--

----- ---------------- - --------- -- -
  ------ ----- --------- ------- ----- -------- ----- -- -
    ----- ----------- - ----------------------------------------- ------
    ----- ---- - ------------------------ ---------------------------

    -- ------ -
      ------------ - -----
      ------ --------------- ----- -------- ------
    -

    ------ --- ----------------------
  --
--

4.将中间件应用到GraphQL服务

最后，服务器应该将中间件应用到GraphQL服务中。可以使用apollo-server-express模块来创建GraphQL服务器，并将中间件添加到GraphQL服务器中。以下是一个示例代码：

-- -------------------- ---- -------
----- ------- - -------------------
----- - ------------- --- - - ---------------------------------
----- ---------------- - ------------------------

----- -------- - ----
  ---- ----- -
    ------ ------
  -
--

----- --------- - -
  ------ -
    ------ -------- ----- -------- -- -
      ------ ------ ---------------------------
    --
  --
--

----- --- - ----------

----- ------ - --- --------------
  ---------
  ----------
  -------- --------- -- -- ---------- ---
  ----------------- -
    ----- ------------------
      ------------------ ----------------------
    ---
  --
---

------------------------ --- ---

---------------- -- -- ------------------- -- ------- -- ---------------------------------

现在，当客户端发送请求时，服务器将使用中间件来检查JWT令牌。如果令牌有效，则在上下文中添加User对象，并将其传递到GraphQL解析器，以便在resolvers中使用。

结论

本文介绍了如何在GraphQL中使用JWT进行身份验证。JWT提供了一种简单而有效的方法来验证和授权用户，并实现访问控制。通过使用中间件和GraphQL服务器，可以轻松地集成JWT身份验证到GraphQL API中。此外，我们还提供了示例代码和指导，以便您可以轻松地理解和使用它。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/66f11cbd6fbf96019736b18a