在 GraphQL 的字段级别上实施操作级别授权-JavaScript中文网-JavaScript教程资源分享门户

GraphQL 是一种查询语言和运行时环境，它可以用于从客户端获取数据并支持动态的查询和响应。在 GraphQL 中，通常会为每个字段设置授权级别，以便只有经过授权的用户可以访问该字段。本文将介绍如何在 GraphQL 的字段级别上实施操作级别授权，并提供示例代码。

什么是操作级别授权？

在 GraphQL 中，操作级别授权是一种通过在字段级别控制对数据的访问权限的方法。通过操作级别授权，可以确保只有经过授权的用户或角色可以访问某些数据，同时保持整个系统的安全性。这种授权方式可以用于限制查询、变异或订阅中的任何字段，以及防止未授权的访问。

如何实施操作级别授权

创建一个 GraphQL schema 首先，要创建一个 GraphQL schema。在 schema 中，可以定义数据类型和查询类型、变异类型和订阅类型。定义完这些类型之后，可以使用 GraphQL 中的 schema 来实现操作级别授权。

以下是一个演示如何定义 GraphQL schema 的示例：

-- -------------------- ---- -------
---- ----- -
  -------- ----- ----
  ------ -------
-

---- ---- -
  --- ---
  ------ -------
  ------- -------
-

---- ------ -
  --- ---
  ----- -------
-

在 resolvers 中实现授权接下来，对 schema 中的每个字段实现授权。在 resolvers 中，可以定义哪些用户可以访问该字段以及如何验证用户的身份，例如使用 JSON Web Tokens (JWTs) 进行身份验证。

以下是一个演示如何在 resolvers 中实现授权的示例：

-- -------------------- ---- -------
----- --------- - -
  ------ -
    ------------ ----- -------- ----- -
      ----- -- - --------
      -- ----
      -- -------------- -- ---------------------- -
        ----- --- --------------------
      -
      -- ----
      ------ ----------------
    --
    ------------- ----- -------- ----- -
      -- ----
      -- --------------- -
        ----- --- --------------------
      -
      -- ----
      ------ --------------
    --
  --
  ----- -
    -------------- ----- -------- ----- -
      -- ----
      -- --------------- -
        ----- --- --------------------
      -
      -- ----
      ------ -------------------------------
    --
  --
  ------- -
    ------------ ----- -------- ----- -
      -- ----
      -- --------------- -
        ----- --- --------------------
      -
      -- ----
      ------ ------------
    --
  --
--

在这个示例中，每个 resolver 都通过在 context 中获取用户信息，并在需要时进行验证来实现授权。

通过 middleware 实现全局授权许多 GraphQL 应用程序使用 middleware 来实现全局授权。这种方式可以确保所有查询、变异或订阅都经过授权，而无需在每个 resolver 中实现授权。

以下是一个演示如何使用 middleware 实现全局授权的示例：

-- -------------------- ---- -------
----- --- - ----------

-- -----------------------
------------- ---- ----- -- -
  -- ----
  ----- ----- - --------------------------
  ----- ---- - -------------------
  -- ------- -
    ----------------------------------
    -------
  -
  -- -------- ------- -
  ----------- - -
    ----- -----
  --
  -- ----
  -------
---

--------
  -----------
  -------------
    ------- -------
    ---------- ----------
    --------- -----
  --
--

在这个示例中，middleware 实现了身份验证和将用户信息添加到 context 中的操作，然后将控制权传递给下一个 middleware 或路由处理程序。在后续的 resolvers 中，可以通过获取 context 中的用户信息来进行授权。

结论

GraphQL 是一种灵活、可扩展的查询语言和运行时环境，它的查询语言和运行时环境可以让前端开发人员更加方便地获取和管理数据。操作级别授权是在 GraphQL 中实现数据安全性的一种非常有效的方法。在 resolvers 中实现授权或使用 middleware 实现全局授权，都可以对具体的查询、变异或订阅进行授权，从而确保数据的安全性。希望这篇文章对您了解 GraphQL 的操作级别授权有帮助。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/67482afd93696b0268e8bd86