详解 GraphQL 中的授权与访问权限

阅读时长 7 分钟读完

GraphQL 是一种用于 API 的查询语言和规范。它旨在提高 API 的灵活性和查询效率。与传统的 RESTful API 不同,GraphQL 允许客户端按需请求它们需要的数据,避免了过多或过少的数据传输。GraphQL 还提供了访问权限控制的方法,以确保数据只向有权访问的用户公开。

GraphQL 中的授权

在 GraphQL 中,授权处理是通过验证令牌和用户身份来实现的,通常使用 JSON Web Token(JWT)作为身份验证凭证。JWT 是一种标准,用于在两个系统之间安全传输信息。有许多流行的 JWT 库,如 jsonwebtokenjwt-simple

令牌可以在登录成功后由后端服务器生成,并通过 HTTP Response 的 Header 或 Response Body 返回给前端。前端可以使用此令牌发送 GraphQL 查询,以向后端验证其身份,并获取其有权访问的数据。在 GraphQL 中,令牌可以通过一些自定义中间件实现授权和验证。

以下是一个简单的 GraphQL API 示例,它使用 JWT 进行授权:

-- -------------------- ---- -------
---- ----- -
  ----------- ----- ----
-

---- -------- -
  ---------------- -------- --------- --------- -----
-

---- ---- -
  --- ---
  ----- -------
  ------ -------
  --------- -------
-

---- ----- -
  ------ -------
-

------ -
  ------ -----
  --------- --------
-

在上面的示例中,我们定义了两种 GraphQL 操作:QueryMutation。在 Query 中,我们定义了 getUser,它接受一个 ID 参数,并返回一个 User 对象。在 Mutation 中,我们定义了一个 loginUser,它接受用户的电子邮件和密码,并返回一个包含 JWT 令牌的 Token 对象。我们还定义了 User 对象,该对象表示用户,包含其 ID、姓名、电子邮件和密码。

在定义操作之后,我们需要对其进行验证。我们将创建一个 GraphQL 中间件来验证令牌和用户身份:

-- -------------------- ---- -------
----- --- - -----------------------

-------- ------------------------ -
  ------ ----- ------ ----- -------- ----- -- -
    ----- ----- - ---------------------------------
    --- -
      ----- ------- - ----------------- ---------
      ------------ - ------------
      ------ -------------- ----- -------- -----
    - ----- ----- -
      ----- --- ---------------------
    -
  -
-

----- --------- - -
  ------ -
    -------- --------------------- ----- -------- -- -
      ------ --------------- ---- ------- --
    --
  --
  --------- -
    ---------- ----- ------ ----- -- -
      ----- ---- - ----- --------------- ------ ---------- --
      -- ------- ----- --- ----------- --- -------
      -- -------------- --- -------------- ----- --- -------------- ----------
      ----- ----- - ---------- ---- -- --------- - ---------- ---- --
      ------ - ----- -
    -
  -
-

在上述代码中,我们通过将 JWT 密钥传递给 jwt.verifyjwt.sign来验证并生成令牌。然后,在 GraphQL 查询或变异时,我们通过在 resolver 中包装它们来执行授权检查。在 authMiddleware 函数中,我们会将获取到的 token 解码,并将用户信息添加到 GraphQL 的上下文中,在 resolver 中可以方便的访问。

GraphQL 中的访问权限

GraphQL 还提供了一些内置指令(例如 @include@skip),以帮助管理查询的访问权限。GraphQL 还有一些开源的库,如 graphql-shield,它提供了在 GraphQL 中实现访问权限的可扩展框架。

以下是一个简单的访问权限示例:

-- -------------------- ---- -------
---- ----- -
  ----------- ----- ---- ------------
-

---- -------- -
  ---------------- -------- --------- --------- -----
-

---- ---- -
  --- ---
  ----- -------
  ------ -------
  --------- -------
-

---- ----- -
  ------ -------
-

--------- ------------ -- ----------------

------ -
  ------ -----
  --------- --------
-

在上面的示例代码中,我们在 getUser 查询字段上标记了一个 @requireAuth 指令,该指令通知 GraphQL 该查询需要授权才能执行。然后,我们使用 graphql-shield 库来定义 @requireAuth 的操作规则:

-- -------------------- ---- -------
----- - ----- ------ - - -------------------------

----- --------------- - ------ ------ ------------ ---
  ----- -------- ----- ---- ----- -- -
    ------ -------- --- ----
  -
-

----- ----------- - --------
  ------ -
    -------- ----------------
  --
-- -
  -------------------- -----
--

-- ----- ----------
------------------- -------------
  -------
  ----------
  -------- - ---- --- --
  --------- -----
  ----------- -- -- --------------------------
  ---------------- --------------
---

在上面的代码中,我们使用 graphql-shield 定义了一个 isAuthenticated 规则,该规则检查 context.user 是否存在,如果存在则用户有可能已登录。然后,我们使用 shield 函数将权限规则应用于查询和变异,并将其部署为 GraphQL 中间件。

结论

本文详细介绍了 GraphQL 中的授权和访问权限控制方法,并提供了示例代码来说明其实现。无论是 JWT 还是其他方法,都可以确保数据只向有权访问的用户公开。访问控制指令和 GraphQL-shield 等库还帮助开发人员规范化 GraphQL 权限验证的流程,也更加注重公平公正的数据交互。开发人员应根据具体的业务需求选择更合适的授权方案,并注意进行权限测试以避免潜在的安全风险。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/670229bcd91dce0dc846a2ba

纠错
反馈