GraphQL 是一种用于 API 的查询语言和规范。它旨在提高 API 的灵活性和查询效率。与传统的 RESTful API 不同,GraphQL 允许客户端按需请求它们需要的数据,避免了过多或过少的数据传输。GraphQL 还提供了访问权限控制的方法,以确保数据只向有权访问的用户公开。
GraphQL 中的授权
在 GraphQL 中,授权处理是通过验证令牌和用户身份来实现的,通常使用 JSON Web Token(JWT)作为身份验证凭证。JWT 是一种标准,用于在两个系统之间安全传输信息。有许多流行的 JWT 库,如 jsonwebtoken 和 jwt-simple。
令牌可以在登录成功后由后端服务器生成,并通过 HTTP Response 的 Header 或 Response Body 返回给前端。前端可以使用此令牌发送 GraphQL 查询,以向后端验证其身份,并获取其有权访问的数据。在 GraphQL 中,令牌可以通过一些自定义中间件实现授权和验证。
以下是一个简单的 GraphQL API 示例,它使用 JWT 进行授权:
---- ----- - ----------- ----- ---- - ---- -------- - ---------------- -------- --------- --------- ----- - ---- ---- - --- --- ----- ------- ------ ------- --------- ------- - ---- ----- - ------ ------- - ------ - ------ ----- --------- -------- -
在上面的示例中,我们定义了两种 GraphQL 操作:Query 和 Mutation。在 Query 中,我们定义了 getUser,它接受一个 ID 参数,并返回一个 User 对象。在 Mutation 中,我们定义了一个 loginUser,它接受用户的电子邮件和密码,并返回一个包含 JWT 令牌的 Token 对象。我们还定义了 User 对象,该对象表示用户,包含其 ID、姓名、电子邮件和密码。
在定义操作之后,我们需要对其进行验证。我们将创建一个 GraphQL 中间件来验证令牌和用户身份:
----- --- - -----------------------
-------- ------------------------ -
------ ----- ------ ----- -------- ----- -- -
----- ----- - ---------------------------------
--- -
----- ------- - ----------------- ---------
------------ - ------------
------ -------------- ----- -------- -----
- ----- ----- -
----- --- ---------------------
-
-
-
----- --------- - -
------ -
-------- --------------------- ----- -------- -- -
------ --------------- ---- ------- --
--
--
--------- -
---------- ----- ------ ----- -- -
----- ---- - ----- --------------- ------ ---------- --
-- ------- ----- --- ----------- --- -------
-- -------------- --- -------------- ----- --- -------------- ----------
----- ----- - ---------- ---- -- --------- - ---------- ---- --
------ - ----- -
-
-
-在上述代码中,我们通过将 JWT 密钥传递给 jwt.verify 和 jwt.sign来验证并生成令牌。然后,在 GraphQL 查询或变异时,我们通过在 resolver 中包装它们来执行授权检查。在 authMiddleware 函数中,我们会将获取到的 token 解码,并将用户信息添加到 GraphQL 的上下文中,在 resolver 中可以方便的访问。
GraphQL 中的访问权限
GraphQL 还提供了一些内置指令(例如 @include 和 @skip),以帮助管理查询的访问权限。GraphQL 还有一些开源的库,如 graphql-shield,它提供了在 GraphQL 中实现访问权限的可扩展框架。
以下是一个简单的访问权限示例:
---- ----- - ----------- ----- ---- ------------ - ---- -------- - ---------------- -------- --------- --------- ----- - ---- ---- - --- --- ----- ------- ------ ------- --------- ------- - ---- ----- - ------ ------- - --------- ------------ -- ---------------- ------ - ------ ----- --------- -------- -
在上面的示例代码中,我们在 getUser 查询字段上标记了一个 @requireAuth 指令,该指令通知 GraphQL 该查询需要授权才能执行。然后,我们使用 graphql-shield 库来定义 @requireAuth 的操作规则:
----- - ----- ------ - - -------------------------
----- --------------- - ------ ------ ------------ ---
----- -------- ----- ---- ----- -- -
------ -------- --- ----
-
-
----- ----------- - --------
------ -
-------- ----------------
--
-- -
-------------------- -----
--
-- ----- ----------
------------------- -------------
-------
----------
-------- - ---- --- --
--------- -----
----------- -- -- --------------------------
---------------- --------------
---在上面的代码中,我们使用 graphql-shield 定义了一个 isAuthenticated 规则,该规则检查 context.user 是否存在,如果存在则用户有可能已登录。然后,我们使用 shield 函数将权限规则应用于查询和变异,并将其部署为 GraphQL 中间件。
结论
本文详细介绍了 GraphQL 中的授权和访问权限控制方法,并提供了示例代码来说明其实现。无论是 JWT 还是其他方法,都可以确保数据只向有权访问的用户公开。访问控制指令和 GraphQL-shield 等库还帮助开发人员规范化 GraphQL 权限验证的流程,也更加注重公平公正的数据交互。开发人员应根据具体的业务需求选择更合适的授权方案,并注意进行权限测试以避免潜在的安全风险。
来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/670229bcd91dce0dc846a2ba