GraphQL 和 OAuth2:如何在 API 中实现身份验证

阅读时长 8 分钟读完

在 Web 开发和 API 构建中,身份验证是一个至关重要的问题。在有些情况下,您只需要对所有用户进行身份验证即可,但在许多情况下,您需要按照用户的角色或权限级别进行身份验证。

GraphQL 和 OAuth2 是授权和身份验证方面的两个热门技术,本文将介绍如何使用它们来实现 API 中的身份验证。

GraphQL 入门

GraphQL 是由 Facebook 创建的一种新型的 API 技术。它旨在简化客户端与服务器之间的数据交互,并允许客户端控制所请求的数据以提高效率。

在 GraphQL 中,客户端可以指定它们需要哪些数据,而服务器可以提供自定义的响应以满足客户端的需求。与传统的 RESTful API 相比,GraphQL 的一个重要特点是,客户端只需要发出一次请求,即可获得所需的所有数据。

以下是一个最基本的 GraphQL 查询:

客户端请求包含一个名为“user”的根级别字段,这个字段需要一个 ID 参数,并返回用户的姓名和电子邮件字段。当服务器收到这个请求时,它将处理这个请求并返回客户端所需的数据。

OAuth2 入门

OAuth2 是一种标准的授权协议,允许第三方应用程序访问受限资源,而不必获得用户的用户名和密码。OAuth2 使用访问令牌来授权对资源的访问,并将其传递给受请求的 API。

以下是 OAuth2 中的一些术语:

  • 令牌 (Token):OAuth2 的令牌是一种表示用户身份的凭据,它通常被用来授权对受限资源的访问。
  • 客户端 (Client):客户端是发起对 OAuth2 资源的请求的任何应用程序或服务。
  • 授权服务器 (Authorization Server):授权服务器是负责管理和颁发访问令牌的服务器。
  • 资源服务器 (Resource Server):资源服务器是存储受限资源的服务器,它验证令牌并确定受请求的客户端是否有权访问资源。

OAuth2 定义了四种授权类型。

  1. 授权码授权(Authorization Code Grant):客户端使用授权码来获得令牌。
  2. 简化授权(Implicit Grant):适用于前端应用程序,客户端通过重定向到授权服务器进行授权。
  3. 密码授权(Password Grant):允许客户端使用用户的用户名和密码来获得令牌。
  4. 客户端凭证授权(Client Credentials Grant):适用于后端服务,客户端使用自己的凭据获得访问令牌。

GraphQL 和 OAuth2 结合

在实际应用中,GraphQL 和 OAuth2 通常会结合使用,以实现安全的 API 访问。

我们可以使用 OAuth2 密码授权模式,允许客户端使用用户名和密码来获得访问令牌。GraphQL 可以使用访问令牌验证 GraphQL 查询,以确保只有经过身份验证的用户才能访问资源。

下面是一个使用 GraphQL 和 OAuth2 的身份验证实现的服务器端示例:

1. 安装依赖

在这个例子中,我们使用 Express 作为服务器框架,express-graphql 来处理 GraphQL 请求,express-oauth-server 来处理 OAuth2 授权请求。

2. 配置 OAuth2

-- -------------------- ---- -------
----- ------- - -------------------
----- ----------- - --------------------------------

----- --- - ----------

-- -- ------ --
----- ----- - --- -------------
  ------ -
    --------------- -- -- ---
    ---------- -- -- ---
    ---
  -
---

-- -- ------ --
----------------------- ---------------

在这个例子中,我们配置了 OAuth2 模型以及 OAuth2 的路由 path。

3. 配置 GraphQL

-- -------------------- ---- -------
----- - -------------- ------------------ ------------- - - -------------------
----- ----------- - ---------------------------

----- --- - ----------

-- -- ------- - ------
----- ------ - --- ---------------
  ------ --- -------------------
    ----- --------
    ------- -
      ----- -
        ----- --- -------------------
          ----- -------
          ------- -
            --- - ----- ------------- --
            ----- - ----- ------------- --
            ------ - ----- ------------- -
          -
        ---
        ----- - --- - ----- ------------- - --
        -------- --- - -- -- -------- -- -
          -- ------
          -- --------------- -
            ----- --- ---------- -------------
          -

          -- ------------
        -
      -
    -
  --
---

-- -- ------- --
------------------- -------------
  ------- -------
  --------- -----
  -------- -- --- -- -- -- ----- -------- --
----

在这个例子中,我们使用 GraphQLObjectType 定义了一个 user 查询,并设置了一个 context,将 Express 的 req 对象中的 user 属性传递给 GraphQL 的上下文。在用户调用 user 查询时,我们通过检查 context.user 对象来进行身份验证。

4. 配置访问令牌

-- -------------------- ---- -------
----- - ------- - - ----------------
----- -------------- - ----------------------------------

-- ------
----- -------------- - ----- -- -- -
  ----- ------- - -
    ------- -------
    ---- ------------------------------------ -- --------
    ----- -
      ----------- -----------
      ---------- --------------
      -------------- ------------------
      --------- -------------
      --------- -------------
    --
    ----- -----
  -

  ----- -------- - ----- ------------------------

  ------ ----------------------
-

-- ------ ------- --
----- --------- - ----- -- -- -
  ----- ----- - ----- -----------------

  ----- ----- - -
    ----- -
      -------- ---- -
        ----
        -----
      -
    -
  --

  ----- ------- - -
    ------- -------
    ---- --------------------------------
    -------- -
      -------------- ------- ---------
    --
    ----- -
      ------
    --
    ----- -----
  --

  ----- -------- - ----- ------------------------

  ----------------------
-

------------

在这个例子中,我们定义了一个函数,用于获取访问令牌,然后使用 OAuth2 访问令牌向服务器发送 GraphQL 请求。在发送请求时,我们将访问令牌作为 Authorization 头部中的 Bearer 标头发送。

结论

GraphQL 和 OAuth2 在很多方面都是互补的,并且可以很容易地结合使用以实现安全的 API 访问。GraphQL 和 OAuth2 的结合可以确保只有经过身份验证的用户才能访问 API 中的资源。

虽然本文只展示了基本的使用示例,但是您可以通过扩展本文中的示例来构建更复杂的应用程序,具体取决于您的需求。如果您可以掌握使用 GraphQL 和 OAuth2,那么您就可以为您的 API 添加一个非常强大的身份验证机制。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/67070b2fd91dce0dc8647419

纠错
反馈