在 GraphQL 服务器中实现访问控制的好的模式是什么?
What is a good pattern for implementing access control in a GraphQL server?
背景:
我有一组模型,包括用户和各种其他模型,其中一些模型包含对用户的引用。我公开这些模型以通过 Graffiti, backed by a Mongo database using the graffiti-mongoose 适配器生成的 GraphQL API 进行查询。我当前的 REST API(我正在迁移到 GraphQL)使用 JSON Web 令牌对用户进行身份验证,并在服务器端有一些自定义权限逻辑来处理访问控制。
问题:
我想根据当前登录用户限制对 GraphQL 中对象的访问。一些模型应该可以通过未经身份验证的调用进行读取。大多数其他模型应该只能由创建它们的用户访问。通过 Graffiti 生成的 API 管理对象访问控制的最佳方式是什么?
总的来说,GraphQL 有好的访问控制模式吗?特别是,是否有使用 Graffiti 执行此操作的任何好的示例或库?
备注:
我知道预挂钩和 post- 挂钩 been implemented for graffiti-mongoose, and that they can be used 可以进行基本的二进制检查以进行身份验证。我想看看如何将更详细的访问控制逻辑用于 GraphQL API。将来,我们希望支持管理员,他们可以访问由特定用户组创建的模型实例(例如,其从属关系包括管理员的用户)。
通常 GraphQL 不直接处理访问控制,而是将该责任委托给与之接口的任何数据系统。在你的情况下,这听起来像 Mongoose。
由于访问控制逻辑通常是任意逻辑(例如,该用户是否被禁止访问某些内容?该内容的发布者是否使用自定义隐私设置对其进行了限制?等等),这听起来像是您的情况这个访问控制逻辑实际上是自定义的,它应该存在于为 GraphQL 字段生成值的 "resolve" 函数中。
例如:
var UserType = new GraphQLObjectType({
name: 'User',
fields: {
name: { type: GraphQLString },
birthday: {
type: GraphQLString,
resolve(user, context) {
var auth = context.myLoggedInAuth;
if (myCanAuthSeeBirthday(auth, user)) {
return user.birthday;
}
}
}
}
});
我创建了一个与 GraphQL 一起使用的规则库访问控制。
https://github.com/joonhocho/graphql-rule
无论是否使用 GraphQL,它都简单且不受限制。
您可以将它与普通 javascript 对象一起使用。
希望对 GraphQLers 有所帮助!
背景:
我有一组模型,包括用户和各种其他模型,其中一些模型包含对用户的引用。我公开这些模型以通过 Graffiti, backed by a Mongo database using the graffiti-mongoose 适配器生成的 GraphQL API 进行查询。我当前的 REST API(我正在迁移到 GraphQL)使用 JSON Web 令牌对用户进行身份验证,并在服务器端有一些自定义权限逻辑来处理访问控制。
问题:
我想根据当前登录用户限制对 GraphQL 中对象的访问。一些模型应该可以通过未经身份验证的调用进行读取。大多数其他模型应该只能由创建它们的用户访问。通过 Graffiti 生成的 API 管理对象访问控制的最佳方式是什么?
总的来说,GraphQL 有好的访问控制模式吗?特别是,是否有使用 Graffiti 执行此操作的任何好的示例或库?
备注:
我知道预挂钩和 post- 挂钩 been implemented for graffiti-mongoose, and that they can be used 可以进行基本的二进制检查以进行身份验证。我想看看如何将更详细的访问控制逻辑用于 GraphQL API。将来,我们希望支持管理员,他们可以访问由特定用户组创建的模型实例(例如,其从属关系包括管理员的用户)。
通常 GraphQL 不直接处理访问控制,而是将该责任委托给与之接口的任何数据系统。在你的情况下,这听起来像 Mongoose。
由于访问控制逻辑通常是任意逻辑(例如,该用户是否被禁止访问某些内容?该内容的发布者是否使用自定义隐私设置对其进行了限制?等等),这听起来像是您的情况这个访问控制逻辑实际上是自定义的,它应该存在于为 GraphQL 字段生成值的 "resolve" 函数中。
例如:
var UserType = new GraphQLObjectType({
name: 'User',
fields: {
name: { type: GraphQLString },
birthday: {
type: GraphQLString,
resolve(user, context) {
var auth = context.myLoggedInAuth;
if (myCanAuthSeeBirthday(auth, user)) {
return user.birthday;
}
}
}
}
});
我创建了一个与 GraphQL 一起使用的规则库访问控制。
https://github.com/joonhocho/graphql-rule
无论是否使用 GraphQL,它都简单且不受限制。
您可以将它与普通 javascript 对象一起使用。
希望对 GraphQLers 有所帮助!