GraphQL 是一种现代化的 API 架构,它能够让前端开发人员更加灵活地与服务器交互,同时也更容易实现授权和认证等安全措施。其中 JWT(JSON Web Token)是一种常见的身份验证方法,能够在客户端和服务器之间传递信息。在这篇文章中,我们将介绍如何在 GraphQL 中使用 JWT 实现授权。
JWT 简介
JWT 是由三部分组成的字符串:头部、载荷和签名。其中头部和载荷都是 JSON 格式。头部包含算法和令牌类型等信息,载荷包含用户信息和过期时间等信息,签名则是使用私钥对头部和载荷进行加密的结果。在实际应用中,JWT 主要用于实现用户授权,即通过验证 JWT 来确认用户的身份和权限。
在 GraphQL 中使用 JWT
在 GraphQL 中,我们可以使用 HTTP 的 HEADER 或者自定义查询参数来传递 JWT。在后端,通过拦截所有请求并验证 JWT 的有效性,来确保正确的用户信息被传递给 API。以下是一个使用 Express 和 GraphQL-yoga 实现 JWT 的示例代码:
----- --- - ------------------------
----- ---------- - -----------------------
----- - ------------- - - ------------------------
----- -------- - -
---- ----- -
--- ----
-
---- -------- -
------------ ------- --------- -------- ------
-
---- ---- -
--- ---
------ -------
-
--
----- ----- - -
-
--- ----
------ ----------------
--------- -------------
-
--
----- ---------- - --------------
----- --------- - -
------ -
--- -------- ----- -------- -- -
------ -------------
-
--
--------- -
------ -------- ----- -- -
----- - ------ -------- - - -----
----- ---- - --------------- -- ---------- --- ----- -- ------------- --- ----------
-- ------- -
----- --- -------------- ----- --------------
-
----- ----- - ---------- --- ------- -- ----------- - ---------- ---- ---
------ ------
-
-
--
----- ------ - --- ---------------
---------
----------
-------- ----- -- -
----- ----- - ------------------------- -- ---
--- -
----- ---- - ----------------- ------------
------ - ---- --
- ----- ----- -
------ ---
-
-
---
--------------------------------------
--------------- -- -
------------------- -- ------- -- ------------------------
---在上述代码中,我们定义了一个 login mutation 来验证用户的登录信息,并返回一个 JWT。我们还定义了一个 me query 来获取当前用户的信息,通过 context 来传递用户信息。在 context 中,我们从 HEADER 中获取 JWT 并验证其有效性,如果验证成功,返回用户信息。如果验证失败,我们只返回一个空对象。这样就可以确保只有有效的 JWT 能够访问受保护的 API 端点。
结论
在 GraphQL 中使用 JWT 实现授权是一种常见的安全措施。通过在 HEADER 中传递 JWT,我们能够保证所有的请求都是合法的,并且获取到正确的用户信息。在编写 GraphQL API 的时候,务必要考虑安全措施,以确保应用程序的安全性和稳定性。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/67175bc9ad1e889fe2213058