GraphQL 是一种用于 API 的查询语言和规范。它旨在提高 API 的灵活性和查询效率。与传统的 RESTful API 不同,GraphQL 允许客户端按需请求它们需要的数据,避免了过多或过少的数据传输。GraphQL 还提供了访问权限控制的方法,以确保数据只向有权访问的用户公开。
GraphQL 中的授权
在 GraphQL 中,授权处理是通过验证令牌和用户身份来实现的,通常使用 JSON Web Token(JWT)作为身份验证凭证。JWT 是一种标准,用于在两个系统之间安全传输信息。有许多流行的 JWT 库,如 jsonwebtoken 和 jwt-simple。
令牌可以在登录成功后由后端服务器生成,并通过 HTTP Response 的 Header 或 Response Body 返回给前端。前端可以使用此令牌发送 GraphQL 查询,以向后端验证其身份,并获取其有权访问的数据。在 GraphQL 中,令牌可以通过一些自定义中间件实现授权和验证。
以下是一个简单的 GraphQL API 示例,它使用 JWT 进行授权:
-- -------------------- ---- ------- ---- ----- - ----------- ----- ---- - ---- -------- - ---------------- -------- --------- --------- ----- - ---- ---- - --- --- ----- ------- ------ ------- --------- ------- - ---- ----- - ------ ------- - ------ - ------ ----- --------- -------- -
在上面的示例中,我们定义了两种 GraphQL 操作:Query
和 Mutation
。在 Query
中,我们定义了 getUser
,它接受一个 ID
参数,并返回一个 User
对象。在 Mutation
中,我们定义了一个 loginUser
,它接受用户的电子邮件和密码,并返回一个包含 JWT 令牌的 Token
对象。我们还定义了 User
对象,该对象表示用户,包含其 ID、姓名、电子邮件和密码。
在定义操作之后,我们需要对其进行验证。我们将创建一个 GraphQL 中间件来验证令牌和用户身份:
-- -------------------- ---- ------- ----- --- - ----------------------- -------- ------------------------ - ------ ----- ------ ----- -------- ----- -- - ----- ----- - --------------------------------- --- - ----- ------- - ----------------- --------- ------------ - ------------ ------ -------------- ----- -------- ----- - ----- ----- - ----- --- --------------------- - - - ----- --------- - - ------ - -------- --------------------- ----- -------- -- - ------ --------------- ---- ------- -- -- -- --------- - ---------- ----- ------ ----- -- - ----- ---- - ----- --------------- ------ ---------- -- -- ------- ----- --- ----------- --- ------- -- -------------- --- -------------- ----- --- -------------- ---------- ----- ----- - ---------- ---- -- --------- - ---------- ---- -- ------ - ----- - - - -
在上述代码中,我们通过将 JWT 密钥传递给 jwt.verify
和 jwt.sign
来验证并生成令牌。然后,在 GraphQL 查询或变异时,我们通过在 resolver 中包装它们来执行授权检查。在 authMiddleware
函数中,我们会将获取到的 token 解码,并将用户信息添加到 GraphQL 的上下文中,在 resolver 中可以方便的访问。
GraphQL 中的访问权限
GraphQL 还提供了一些内置指令(例如 @include
和 @skip
),以帮助管理查询的访问权限。GraphQL 还有一些开源的库,如 graphql-shield,它提供了在 GraphQL 中实现访问权限的可扩展框架。
以下是一个简单的访问权限示例:
-- -------------------- ---- ------- ---- ----- - ----------- ----- ---- ------------ - ---- -------- - ---------------- -------- --------- --------- ----- - ---- ---- - --- --- ----- ------- ------ ------- --------- ------- - ---- ----- - ------ ------- - --------- ------------ -- ---------------- ------ - ------ ----- --------- -------- -
在上面的示例代码中,我们在 getUser
查询字段上标记了一个 @requireAuth
指令,该指令通知 GraphQL 该查询需要授权才能执行。然后,我们使用 graphql-shield
库来定义 @requireAuth
的操作规则:
-- -------------------- ---- ------- ----- - ----- ------ - - ------------------------- ----- --------------- - ------ ------ ------------ --- ----- -------- ----- ---- ----- -- - ------ -------- --- ---- - - ----- ----------- - -------- ------ - -------- ---------------- -- -- - -------------------- ----- -- -- ----- ---------- ------------------- ------------- ------- ---------- -------- - ---- --- -- --------- ----- ----------- -- -- -------------------------- ---------------- -------------- ---
在上面的代码中,我们使用 graphql-shield
定义了一个 isAuthenticated
规则,该规则检查 context.user
是否存在,如果存在则用户有可能已登录。然后,我们使用 shield
函数将权限规则应用于查询和变异,并将其部署为 GraphQL 中间件。
结论
本文详细介绍了 GraphQL 中的授权和访问权限控制方法,并提供了示例代码来说明其实现。无论是 JWT 还是其他方法,都可以确保数据只向有权访问的用户公开。访问控制指令和 GraphQL-shield 等库还帮助开发人员规范化 GraphQL 权限验证的流程,也更加注重公平公正的数据交互。开发人员应根据具体的业务需求选择更合适的授权方案,并注意进行权限测试以避免潜在的安全风险。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/670229bcd91dce0dc846a2ba