来自Facebook的官方消息是Relay是“intentionally agnostic about authentication mechanisms”。在中继存储库中的所有示例中,身份验证和访问控制是一个单独的问题。实际上,我还没有找到一种简单的方法来实现这种分离。
Relay存储库中提供的示例都具有带有viewer字段的根模式,假定有一个用户。该用户可以访问所有内容。
但实际上,应用程序有很多用户,每个用户对每个节点都有不同程度的访问权限。
假设我在JavaScript中使用此架构:
export const Schema = new GraphQLSchema({
query: new GraphQLObjectType({
name: 'Query',
fields: () => ({
node: nodeField,
user: {
type: new GraphQLObjectType({
name: 'User',
args: {
// The `id` of the user being queried for
id: { type: new GraphQLNonNull(GraphQLID) },
// Identity the user who is querying
session: { type: new GraphQLInputObjectType({ ... }) },
},
resolve: (_, { id, session }) => {
// Given `session, get user with `id`
return data.getUser({ id, session });
}
fields: () => ({
name: {
type: GraphQLString,
resolve: user => {
// Does `session` have access to this user's
// name?
user.name
}
}
})
})
}
})
})
});
从查询用户的角度来看,有些用户完全是私有的。其他用户可能只向查询用户公开某些字段。因此,为了获得用户,客户端不仅必须提供他们要查询的用户ID,而且还必须标识自己以便可以进行访问控制。
这似乎很快变得复杂,因为需要控制访问权限。
此外,我需要控制每个根查询的访问权限,例如nodeField。我需要确保每个节点都实现nodeInterface。
所有这些似乎都是重复性的工作。有没有任何已知的模式来简化这个?我错误地想到了这个吗?
答案 0 :(得分:7)
不同的应用程序对访问控制的形式有着非常不同的要求,因此在基本的Relay框架或GraphQL参考实现中加入一些东西可能没有意义。
我看到的非常成功的方法是将隐私/访问控制烘焙到数据模型/数据加载器框架中。每次加载一个对象时,你都不会只是通过id加载它,而是提供查看器的上下文。如果查看者无法看到该对象,则无法加载,就好像它不存在一样,以防止甚至泄漏对象的存在。该对象还保留查看器上下文,并且某些字段可能具有在从对象返回之前检查的受限访问。在较低级别的数据加载机制中进行烘焙有助于确保更高级别的产品/ GraphQL代码中的错误不会泄露私人数据。
在一个具体的例子中,我可能不被允许看到一些用户,因为他阻止了我。你可能会被允许看到他一般,但没有他的电子邮件,因为你不是他的朋友。
在这样的代码中:
var viewer = new Viewer(getLoggedInUser());
User.load(id, viewer).then(
(user) => console.log("User name:", user.name),
(error) => console.log("User does not exist or you don't have access.")
)
尝试在GraphQL级别实现可见性有很多泄漏信息的可能性。想想在Facebook的GraphQL实现中访问用户的多种方式:
node($userID) { name }
node($postID) { author { name } }
node($postID) { likers { name } }
node($otherUserID) { friends { name } }
所有这些查询都可以加载用户的名称,如果用户阻止了您,则他们都不会返回用户或其名称。对所有这些字段进行访问控制而不忘记在任何地方进行检查是错误检查某处的方法。
答案 1 :(得分:4)
我发现如果使用GraphQL rootValue,处理身份验证很容易,当对模式执行查询时,会传递给执行引擎。此值在所有执行级别都可用,对于存储访问令牌或标识当前用户的任何内容都很有用。
如果您正在使用express-graphql中间件,则可以在GraphQL中间件之前的中间件中加载会话,然后配置GraphQL中间件以将该会话置于根值中:
function getSession(req, res, next) {
loadSession(req).then(session => {
req.session = session;
next();
}).catch(
res.sendStatus(400);
);
}
app.use('/graphql', getSession, graphqlHTTP(({ session }) => ({
schema: schema,
rootValue: { session }
})));
此会话随后可在模式中的任何深度处获得:
new GraphQLObjectType({
name: 'MyType',
fields: {
myField: {
type: GraphQLString,
resolve(parentValue, _, { rootValue: { session } }) {
// use `session` here
}
}
}
});
你可以将它与"面向观众的"数据加载以实现访问控制。查看https://github.com/facebook/dataloader,它有助于创建这种数据加载对象并提供批处理和缓存。
function createLoaders(authToken) {
return {
users: new DataLoader(ids => genUsers(authToken, ids)),
cdnUrls: new DataLoader(rawUrls => genCdnUrls(authToken, rawUrls)),
stories: new DataLoader(keys => genStories(authToken, keys)),
};
}
答案 2 :(得分:2)
如果有人对此主题有疑问:我根据dimadima的答案为Relay / GraphQL / express认证制作了一个示例repo。它使用快速中间件和GraphQL Mutation
将会话数据(userId和角色)保存在cookie中