GraphQL与认证

最新推荐文章于 2024-01-02 01:20:00 发布
最新推荐文章于 2024-01-02 01:20:00 发布
阅读量288 收藏
点赞数
文章标签: 前端 json 后端 ViewUI
原文链接:https://segmentfault.com/a/1190000007997392
版权

GraphQL与认证

很多人会问GraphQL怎么认证和授权。最终的答案是GraphQL只是一个查询语言和认证之类的没什么关系,每一个应用都可以有自己的实现方法。但是,我们还是来深入聊聊这个问题。

大局上看

基本上,有三种情况会发生:

  1. 已经登录的用户发出GraphQL查询,未登录的用户不可以。认证在非GraphQL节点完成。

  2. 所有用户都可以发出GraphQL查询,未登录用户可以使用其中的一个子集。认证在非GraphQL节点完成。

  3. 所有用户都可以发出GraphQL查询,认证就由GraphQL节点完成。

第一种情况可能是普遍存在的。你已经有一个REST或者RPC节点,只有认证成功的用户可以访问,添加/graphql非常的简单。不好的地方是,你的客户端不得不处理GraphQL和非GraphQL两种情况。这可能是一笔技术债。

第二种情况是第一种项目进化以后的结果。最终前端代码只使用GraphQL,只不过久经考验的认证节点还会留着。

第三种情况一般是一个全新的后端会有的形态,尽量避免处理非GraphQL节点。我(作者)还没有见过这样形态的服务端。

非GraphQL节点的处理机制

非GraphQL节点,我是指cookies、JSON和web tokens,或者HTTP基本认证。基本上无论何种方式,你的server都可以通过认证一个用户、一个请求并最终把数据传输给你的resolver。

这里是一个使用express-graphql和cookies是例子(从他们的例子里结果来的):

var session = require('express-session');
var graphqlHTTP = require('express-graphql');
var MySchema = require('./MySchema');
var app = express();

app.use(session({ secret: 'secret', cookie: { maxAge: 60000 }}));

app.use('/graphql', graphqlHTTP((request) => ({
  schema: MySchema,
  rootValue: { session: request.session },
  graphiql: truem
})));

在express里,请求在一个比GraphQL路由更早的中间件处理了。之后,请求才会到达GraphQL代码。我们知道请求是从哪里来的。我们甚至都可以在请求到达GraphQL代码以前,把请求重定向到登录页面。

下面的例子使用了express-session,但是处理的原则和express-jwt差不多。在GraphQL层面上,你的schema代码会是这样的:

new GraphQLObjectType({
  name: 'Secrets',
  fields: {
    bigSecret: {
      type: GraphQLString,
      resolve(parentValue, _, { rootValue: { session } }) {
        return getBigSecret(session);
      }
    }
  }
});

只要能取到session,那么用户就可以访问其他相关的资源了。或者,如果session不存在,那么你按照你的设计抛出错误或者实现其他的处理。

关键是rootValue并没有在我们的GraphQL模式中定义为一个公开的字段或者参数,我们不信任客户端直接发送过来的数据,所以它是由server的其他代码注入的。

使用GraphQL时的实现机制

但是我们要完全的使用GraphQL呢?以上的方法可以在使用了express-graphql的时候使用。但是无法迁移到其他的实现里。

在少数的例子里,Facebook谈到了 concept of a viewer field。主要的思想是你的应用的数据和谁访问相关,所以全部的其他字段的数据都嵌入到里面。实际情况是,不可能所有的数据都和访问者相关。但是这么做的话,你可以有改变的余地。

{
  viewer {
    name
    friends {
      name
    }
    getProfile(id: String!) {
      name
    }
  }
}

注意即使和访问者无关的getProfile字段也放在了viewer字段里,为了以防万一哪天要限制访问者可以访问的数据的时候处理起来就简单了。

一个像Facebook一样的APP为了保护隐私,有很多什么人可以查看什么数据的逻辑处理。即使是一个简单的APP也不会让用户查看他没有创建的数据。一个常用的方法是修改URL里的userID来查看一些私有数据,如果server不检查用户所有权的话。使用一个单一的viewer字段就让所有权检查简单了很多。

上面的schema也可以和非GraphQL节点的认证方法一起使用。但是如果我们这么干的话呢:

{
  viewer(token: String) {
    name
  }
}

如果不是用header或者查询参数(比如:JWT、OAuth、等),我们可以把它放在GraphQL的查询里。你的schema的代码可以使用JWT库等工具直接解析传过来的token

**注意**:永远使用HTTPS来传输敏感数据。

要发出新的token,mutation就可以使用了:

mutation {
  createToken(username: String!, password: String!) {
    token
    error
  }
}

我们可以认证放在mutation里,要么返回一个token要么返回一个错误。这样前端就可以把token存起来在之后的请求里使用了。

译自:https://medium.com/the-graphq...

weixin_33717298
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
graphQl_authentication:使用graphQl进行身份验证
05-11
graphQl_authentication 此单页应用程序允许经过身份验证的用户访问仪表板页面。 用于该项目的库/框架: 构建用户界面。 构建GraphQL API。 查询API。 运行GraphQL API服务器。 访问数据。 托管数据库。
Graphql 初体验 第十一章 | #13 Hitting the API(实现了登录注册表单)
swallowblank的博客
03-11 180
对应内容:#13 Hitting the API | Build a Complete App with GraphQL, Node.js, MongoDB and React.js 主要内容: 完成登录、注册表单,及其对应的逻辑 由于涉及前后端的通信,在后端实现跨域的中间件【及其重要】 1 完成表单部分的页面及其对应逻辑,修复了前面的BUG 这里ES6中的类,很多人不是很熟悉,类的属性的实现方式分两种,一种是写在constructor中的属性,一种是类字段,定义在构造函数之外的,类字段是直接赋值在类的
GraphQL认证与授权:实现策略与最佳实践
禅与计算机程序设计艺术
01-02 906
1.背景介绍 GraphQL是一种基于HTTP的查询语言,它允许客户端请求服务器端数据的特定字段,而不是传统的RESTful API,其中客户端可以请求或取消请求。它的主要优点是减少了客户端和服务器之间的数据传输量,提高了性能。然而,在实际应用中,GraphQL API需要进行认证和授权,以确保只有授权的用户可以访问特定的数据和功能。 在本文中,我们将讨论GraphQL认证和授权的核心概念,...
Flutter 新闻客户端 - 16 strapi + graphql 用户注册、登录、异常处理
会煮咖啡的猫咪
07-20 841
本节目标 编写 mutation 操作,登录、注册 graphql 操作类加入异常处理 视频 https://www.bilibili.com/video/BV1vt4y1Q7i3/ 代码 https://github.com/ducafecat/flutter_learn_news/releases/tag/v1.0.16 strapi 运行环境网盘下载 网盘 链接:https://pan.baidu.com/s/13Ujy2hzXp8tSqxCx_4IhVQ 密码:yu82 运行 需要用.
egg.js连接graphql
pgLi
08-11 619
一、安装egg-graphqlmysql2egg-sequelizegraphqldataloader "dataloader": "^2.0.0", "egg": "^2.15.1", "egg-graphql": "^2.8.0", "egg-scripts": "^2.11.0", "egg-sequelize": "^5.2.2", "egg-validate": "^2.0.2", "graphql": "^14.7.0", ...
GraphQL-Jwt
03-06
本篇文章将深入探讨如何在JavaScript环境中,结合GraphQL实现JWT认证。 首先,我们需要理解JWT的工作原理。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷都是JSON对象,被编码...
express实现graphql以及客户端验证(超简单)
09-19
例如,你可以使用`passport`库来处理认证。在处理每个GraphQL请求之前,可以检查请求头中的JWT令牌,以确保请求来自已验证的用户。如果验证失败,你可以返回一个错误,阻止查询的执行。 ```javascript const jwt = ...
Laravel开发-graphql
08-28
### 六、认证与授权 在Laravel中,可以利用已有的认证和授权机制,如JWT或 Sanctum,来保护GraphQL API。Lighthouse提供了中间件来处理这些需求,例如,你可以创建自定义中间件来检查用户是否已登录。 ### 七、...
graphql-example:GraphQL示例项目
01-31
GraphQL示例示例项目展示了使用GraphQL API时要考虑的常见问题请在查看文章二手核心库项目展示GraphQL服务器设置高级标量数据类型拆分方案认证与授权验证方式N + 1个查询安全整合测试
graphql-auth, 一种基于GraphQL的服务器认证/授权方法.zip
10-10
graphql-auth, 一种基于GraphQL的服务器认证/授权方法 基于的应用程序中的基于一种基于GraphQL参考实现的GraphQL服务器中的操作验证和授权操作。然而,如果你想在应用程序中做这个授权部分,你可以使用任何你想要做...
graphql-auth-directives:使用架构指令向您的GraphQL API添加授权
02-04
graphql-auth指令 使用架构指令将身份验证添加到您的GraphQL API。 授权的架构指令 @isAuthenticated @hasRole @hasScope 快速开始 npm install --save graphql-auth-directives 然后导入您要使用的架构指令,并在GraphQL架构构建过程中附加它们。 例如,使用 : import { IsAuthenticatedDirective , HasRoleDirective , HasScopeDirective } from "graphql-auth-directives" ; const
graphql-auth:Graph GraphQL身份验证和授权中间件
05-02
GraphQL身份验证 :locked: GraphQL的身份验证和授权中间件。 graphql-auth是一个非常简单的中间件,可以轻松地与遵循GraphQL API的解析器的任何GraphQL服务器集成。 入门 这个怎么运作 graphql-auth出口单一功能(中间件) withAuth 。 此函数有两个参数,第一个是授权scope (如果有的话),第二个是完成身份验证检查后要调用的callback 。 让我们看一个例子: import withAuth from 'graphql-auth' ; const resolvers = { Query : { users : withAuth ( [ 'users:view' ] , ( root , args , context ) => { ... } ) , ... } } 它的工作方式是withAuth ,它在
GraphQL:新的API标准、查询语言
05-11
GraphQL是一种新的API标准,它提供了一种更高效、强大和灵活的数据提供方式。GraphQL是api的查询语言,而不是数据库。可以在使用API的任何环境中有效使用,我们可以理解为GraphQL是基于API之上的一层封装,目的是为了更好,更灵活的适用于业务的需求变化。
GraphQL:验证与授权
dotNET跨平台
12-05 852
GraphQL 既是一种用于 API 的查询语言也是一个满足你数据查询的运行时。GraphQL 对你的 API 中的数据提供了一套易于理解的完整描述,使得客户端能够准确地获得它需要的数据...
egg.js与graphql使用
wushichao0325的博客
07-15 1224
egg.js与graphql使用 传送门–https://gitee.com/myn_wsc/egg-server
graphql_如何在GraphQL中钉住社交身份验证
08-05 250
graphqlby Oladipupo Bello 由Oladipupo Bello 如何在GraphQL中钉住社交身份验证 (How to nail social authentication in GraphQL) In this article you will learn how to perform social authentication in GraphQL server wi...
Graphql 初体验 第八章 | #10 Adding User Authentication
swallowblank的博客
03-10 124
对应内容:#10 Adding User Authentication | Build a Complete App with GraphQL, Node.js, MongoDB and React.js 这一部分的主要内容是进行用户的身份验证,并且发放一个持久化 token。 实现登录验证的resolver 创建middleware Auth.js 在其他resolver中添加对登录身份的验证,替换固定的用户id 1 实现登录验证 先安装jsonwebtoken cnpm install --save
GraphQL访问安全分析
360linker
03-25 2132
说在前面的话 本文以GraphQL中一些容易让初学者与典型Web API(为了便于理解,下文以目前流行的RESTful API为例代指)混淆或错误理解的概念特性进行内容划分,由我从安全的角度抛出GraphQL应该注意的几点安全问题,而@图南则会更多的从开发的角度给出他在实际使用过程中总结的最佳实践。 另外,需要提前声明的是,本文中我使用的后端开发语言是Go,@图南使用的是Node.js,前端统...
GraphQL - validation 验证
kikajack的博客
01-18 2665
官方文档 1. 概述 GraphQL 不只验证请求在语法上是否正确,还验证在当前服务器的 GraphQL 模式上下文中是否正确。预判查询是否有效,从而可以让服务器和客户端在无效查询创建时就有效地通知开发者,而不用等运行时才知道。 类型系统演变 GraphQL 类型系统模式随着时间的推移而增加新的类型和新的字段,以前有效的请求有可能在以后变得无效。任何可能导致先前有效的请求变为无效的更改
Build_iOS_and_Android_mobile_apps_in_record_time.pdf
最新发布
03-27
2. 全面性:包括各种库、UI组件、GraphQL支持以及设备测试功能,帮助开发者构建复杂的应用程序。 3. 可扩展性:内置AWS的最佳实践,确保应用在用户增长时能够无缝扩展。 4. 敏捷性:通过AWS服务,如AWS AppSync...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值