如何在 GraphQL 中实现验证和授权

阅读时长 8 分钟读完

GraphQL 是一种强大的 API 查询语言,它提供了比传统 RESTful API 更好的数据查询和操作方式。然而,GraphQL 的强大和灵活性也带来了一些安全风险,例如未经身份验证或未经授权的查询和操作。因此,在构建 GraphQL API 时,验证和授权是必不可少的。

本文将介绍如何在 GraphQL 中实现验证和授权,并提供示例代码以帮助您更好地理解和应用这些概念。

验证

验证是确定用户身份的过程。在 GraphQL 中,验证通常涉及使用令牌或其他凭据来标识用户,并确保用户有权访问所请求的数据。

1. 使用 HTTP 头部进行验证

在 GraphQL 中,可以使用 HTTP 头部来传递验证令牌。例如,可以使用 Authorization 头部来传递用户的访问令牌。以下是一个示例查询,它使用 Authorization 头部来传递访问令牌:

HTTP 请求头部:

在服务器端,可以解析 HTTP 头部来获取访问令牌,并使用该令牌来验证用户身份。以下是一个示例 Node.js 代码片段,用于解析 Authorization 头部并验证访问令牌:

-- -------------------- ---- -------
----- --- - ------------------------

-- -- ---- ---------
----- ------------------- - --------------------------
----- ----- - ------------------- - --------------------------- ----- - -----

-- ------
--- -
  ----- ------- - ----------------- ----------
  -------- - --------
- ----- ----- -
  -- ---------
-

在上面的代码中,我们使用 jsonwebtoken 库来解析和验证访问令牌。如果验证成功,我们将用户信息添加到请求对象中,以便后续的查询和操作可以使用该信息。

2. 使用 GraphQL 变量进行验证

除了使用 HTTP 头部进行验证之外,还可以使用 GraphQL 变量来传递访问令牌。以下是一个示例查询,它使用 GraphQL 变量来传递访问令牌:

变量:

在服务器端,可以解析 GraphQL 变量来获取访问令牌,并使用该令牌来验证用户身份。以下是一个示例 Node.js 代码片段,用于解析 GraphQL 变量并验证访问令牌:

-- -------------------- ---- -------
----- --- - ------------------------

----- --------- - -
  ------ -
    --- --- - ----- -- - ---- -- -- -
      -- ------
      --- -
        ----- ------- - ----------------- ----------
        ------ ----------------------------
      - ----- ----- -
        -- ---------
      -
    --
  --
--

在上面的代码中,我们将访问令牌作为查询参数传递给 me 查询,并在解析器中验证该令牌。如果验证成功,我们将返回与用户 ID 相关联的用户信息。

授权

授权是确定用户是否有权访问某个资源的过程。在 GraphQL 中,授权通常涉及使用角色或权限来限制用户对数据的访问。

1. 基于角色的授权

基于角色的授权是一种常见的授权策略,它使用用户角色来确定用户是否有权访问某个资源。在 GraphQL 中,可以使用自定义指令来实现基于角色的授权。

以下是一个示例查询,它使用 @hasRole 指令来限制只有管理员才能访问用户列表:

在服务器端,可以编写自定义指令解析器来实现 @hasRole 指令。以下是一个示例 Node.js 代码片段,用于实现 @hasRole 指令:

-- -------------------- ---- -------
----- - ---------------------- - - -------------------------
----- - -------------------- - - -------------------

----- ---------------- ------- ---------------------- -
  --------------------------- -
    ----- - ------- - -------------------- - - ------
    ----- - ---- - - ----------

    ------------- - -------- -------- ----- -------- ----- -
      ----- ---- - -------------

      -- -------------
      -- ------ -- --------------------------- -
        ----- --- ---------- -------------
      -

      ------ ------------------ ------- ----- -------- ------
    --
  -
-

-------------- - - ---------------- --

在上面的代码中,我们使用 SchemaDirectiveVisitor 类来创建自定义指令解析器。在 visitFieldDefinition 方法中,我们获取原始解析器函数并替换它。在新的解析器函数中,我们检查用户是否具有所需的角色,如果没有,则抛出一个错误。

2. 基于权限的授权

除了基于角色的授权之外,还可以使用基于权限的授权来限制用户对数据的访问。在 GraphQL 中,可以使用自定义指令来实现基于权限的授权。

以下是一个示例查询,它使用 @hasPermission 指令来限制只有具有 view_users 权限的用户才能访问用户列表:

在服务器端,可以编写自定义指令解析器来实现 @hasPermission 指令。以下是一个示例 Node.js 代码片段,用于实现 @hasPermission 指令:

-- -------------------- ---- -------
----- - ---------------------- - - -------------------------
----- - -------------------- - - -------------------

----- ---------------------- ------- ---------------------- -
  --------------------------- -
    ----- - ------- - -------------------- - - ------
    ----- - ---------- - - ----------

    ------------- - -------- -------- ----- -------- ----- -
      ----- ---- - -------------

      -- -------------
      -- ------ -- --------------------------------------- -
        ----- --- ---------- -------------
      -

      ------ ------------------ ------- ----- -------- ------
    --
  -
-

-------------- - - ---------------------- --

在上面的代码中,我们使用 SchemaDirectiveVisitor 类来创建自定义指令解析器。在 visitFieldDefinition 方法中,我们获取原始解析器函数并替换它。在新的解析器函数中,我们检查用户是否具有所需的权限,如果没有,则抛出一个错误。

结论

验证和授权是构建 GraphQL API 不可或缺的部分。通过使用 HTTP 头部或 GraphQL 变量进行验证,并使用自定义指令进行授权,我们可以实现强大的安全性和灵活性,以确保用户只能访问他们有权访问的数据。

希望本文能够帮助您更好地理解和应用 GraphQL 中的验证和授权。如果您有任何问题或建议,请随时在评论区留言。

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/6725c7da2e7021665e18afa5

纠错
反馈