用 GraphQL 时如何在后端对查询进行验证?

阅读时长 4 分钟读完

GraphQL 是一个强类型的数据查询语言,通过定义查询和返回的类型来使得 API 更加精确和可预测。在前端开发过程中,我们常常会使用 GraphQL 来进行数据查询和操作。然而,为了确保系统的安全性和稳定性,在后端也需要对 GraphQL 查询进行验证。

在本文中,我们将介绍在后端如何对 GraphQL 查询进行验证,包括对查询结构和用户权限的验证。我们还将提供示例代码和实际应用的指导意义。

验证查询结构

验证查询结构是一种确保查询语句按照规定的方式进行的方法。通过验证查询结构,我们可以确保查询语句请求的数据满足定义的类型要求并且不能请求不支持的操作。

我们可以使用 GraphQL 的 schema 来定义类型和查询结构,然后使用一些工具来验证查询语句的结构。比如,如果我们定义了 Person 类型和一个查询所有人的操作,则验证代码可以采用如下方式:

-- -------------------- ---- -------
----- --- - -------------------
----- ---------- - --- -----------------------
  ----- ---------
  ------------ -- --------
  ------- -- -- --
    --- - ----- ------------- --
    ----- - ----- ----------------- --
    ---- - ----- -------------- --
  --
---

----- ------ - --- -------------------
  ------ --- -----------------------
    ----- --------
    ------- -
      ---------- -
        ----- --- ----------------------------
        -------- -- -- -------------
      -
    -
  --
---

-------- -------------------- -
  ----- ------ - -------------------- -------
  -- -------------- - -- -
    ----- --- -------------- ------ -----------------------
  -
-

在上面的代码中,我们定义了 Person 类型和一个查询所有人的操作,然后在 validateQuery 函数中使用 gql.validate 方法来验证查询语句。如果语句不合法,则会抛出错误并终止查询,反之则返回查询结果。

验证用户权限

验证用户权限是一种确保用户只能请求自己有权限的数据的方法。一般来说,我们可以在用户登录时获取用户的身份信息(比如角色、权限等),然后在查询时根据身份信息来决定是否返回数据。

我们可以将用户身份信息加入查询上下文中,然后在 resolver 中读取上下文信息,并根据用户权限进行过滤。比如,如果我们需要查询一个需要权限的资源列表:

-- -------------------- ---- -------
----- ------ - --- -------------------
  ------ --- -----------------------
    ----- --------
    ------- -
      ---------- -
        ----- --- ------------------------------
        ----- -
          ------- - ----- -------------- --
        --
        -------- -------- --------- -------- -- -
          -- --------------- -
            ----- --- ----------- --- ------ -----
          -
          -- --------------------------------- -
            ----- --- ----------- ---- --- ---- ------ -- ------------
          -
          ------ ----------------------
        -
      -
    -
  --
---

在上面的代码中,我们将用户身份信息加入查询上下文中,然后在 resolver 中读取上下文信息,并且判断用户是否有权限访问资源。如果用户没有访问权限,则会抛出错误并终止查询,反之则返回查询结果。

结论

在本文中,我们介绍了在后端如何对 GraphQL 查询进行验证,包括对查询结构和用户权限的验证。在实际应用中,我们应该根据系统需求和查询类型来采用不同的验证方式,并且为查询错误提供友好的错误信息。通过这种方式,可以确保数据的安全性和可用性,同时提高系统的稳定性和易用性。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6712fdd5ad1e889fe209a8e1

纠错
反馈