为 GraphQL 应用添加身份验证和授权-JavaScript中文网-JavaScript教程资源分享门户

GraphQL 是一种强大的查询语言和 API 设计语言，它允许前端开发人员通过一个简单的 API 从后端获取数据。但是，安全性一直是 GraphQL 应用的一个重要问题。在本文中，我们将探讨如何为 GraphQL 应用添加身份验证和授权，以保护应用程序的数据。

身份验证和授权的区别

在探讨如何为 GraphQL 应用添加身份验证和授权之前，我们需要明确身份验证和授权之间的区别。

身份验证是确认用户是否是已经注册的用户。例如，通过用户名和密码验证用户是否是已经注册的用户。身份验证通常是在用户登录时进行的。

授权是确认用户是否有权限访问某些资源或执行某些操作。例如，管理员可以访问所有资源和执行所有操作，而普通用户只能访问特定的资源和执行特定的操作。授权通常是在用户访问资源或执行操作时进行的。

添加身份验证

为了保护 GraphQL 应用程序的数据，我们需要先对用户进行身份验证。我们可以使用 JSON Web Tokens（JWT）来实现身份验证。JWT 是一种轻量级的身份验证和授权机制，它可以在客户端和服务器之间传递信息。

以下是使用 JWT 进行身份验证的步骤：

用户在登录页面输入用户名和密码。
客户端将用户名和密码发送到服务器端。
服务器端验证用户名和密码，如果验证成功，将生成一个 JWT 并将其发送回客户端。
客户端将 JWT 存储在本地存储器中。
客户端在每个请求中将 JWT 添加到请求头中。
服务器端从请求头中获取 JWT，并验证其有效性。

以下是身份验证的示例代码：

-- -------------------- ---- -------
----- --- - ------------------------
----- ------ - --------------

-- ----
----- -------- --------------- --------- -
  -- --------
  -- --------- --- ------- -- -------- --- ----------- -
    -- -- ---
    ----- ----- - ---------- -------- -- ------- - ---------- ---- ---
    ------ - ----- --
  - ---- -
    ----- --- -------------- -------- -- -----------
  -
-

-- -- ---
----- -------- ------------------ -
  --- -
    ----- ------- - ----------------- --------
    ------ -----------------
  - ----- ----- -
    ----- --- -------------- --------
  -
-

添加授权

一旦用户进行了身份验证，我们需要对用户进行授权，以控制用户访问资源的权限。我们可以使用 GraphQL 的中间件来实现授权。

以下是使用 GraphQL 中间件进行授权的步骤：

定义一个中间件函数，该函数将在每个请求中运行。
在中间件函数中获取 JWT 并验证其有效性。
如果 JWT 有效，则在上下文中设置用户对象。
在每个查询和变异中检查用户是否有权限访问资源或执行操作。

以下是授权的示例代码：

-- -------------------- ---- -------
----- - ------------- --- - - -------------------------
----- --- - ------------------------
----- ------ - --------------

-- -------
----- -------- - ----
  ---- ----- -
    ------ ------
  -
--

-- -----
----- --------- - -
  ------ -
    ------ -------- ----- -------- -- -
      -- -------------
      -- --------------- -
        ----- --- ----------------------
      -
      ------ ------- ------------------
    --
  --
--

-- -----
----- ---------- - ----- ----- ---- ----- -- -
  -- ------- ---
  ----- ----- - --------------------------
  -- ------- -
    --- -
      -- -- ---
      ----- ------- - ----------------- --------
      -- ------------
      ----------- - - ----- ---------------- --
    - ----- ----- -
      -- --- --
      ----------- - ---
    -
  - ---- -
    -- -- ---
    ----------- - ---
  -
  -------
--

-- -----
----- ------ - --- --------------
  ---------
  ----------
  -------- -- --- -- -- -- -------------- ---
  -------- -- ---------------- -- -- -- ----------------- ---------- -- ---
---

-- -----
----------------------- --- -- -- -
  --------------- ------ ----- -- ---------
---

结论

在本文中，我们学习了如何为 GraphQL 应用程序添加身份验证和授权。我们使用 JWT 实现身份验证，并使用 GraphQL 中间件实现授权。这将有助于保护 GraphQL 应用程序的数据，并确保只有经过身份验证和授权的用户才能访问资源和执行操作。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/67411e66d40a3cb159e8f4a6