如何获取查询/突变操作名称

时间:2018-08-09 10:00:27

标签: java graphql graphql-java

我是Spring Boot + GraphQL的新手。 我需要在控制器类中获取查询/更改操作名称。

目的::需要某些用户的特级许可才能进行特定的变异/查询操作。 在这里,用户类型将作为请求标头传递并得到验证,并检查是否允许用户访问该操作。

@PostMapping
public ResponseEntity<Object> callGraphQLService(@RequestBody String query, @RequestHeader("user") String userName) {
    ExecutionResult result = graphService.getGraphQL().execute(ExecutionInput.newExecutionInput()
            .query(query)
            .context(userName)
            .build());
    return new ResponseEntity<>(result, HttpStatus.OK);
}
  

建议为特定查询/突变执行授权的任何有效机制

1 个答案:

答案 0 :(得分:6)

我认为您在这里以REST术语考虑授权,但它与GraphQL的映射并不理想。您需要一种更精细的方法,而不是基于操作名称(或基于REST中的URL)的顶级决策。您需要知道哪些人被允许查看/执行在字段级别,因为允许客户进行临时选择。

有多种方法可以做到这一点,但是自从您提到Spring以来,您可以在服务级别简单地使用Spring Security。如果每个受保护的字段都有服务方法(应该是)支持,则可以照常使用Spring Security保护这些方法。

更好的是,您还应该提供一个自定义的GraphqlFieldVisibility实现,这样,未经授权的客户端甚至无法知道他们不允许在字段中看到字段的存在。模式。您可以使用例如Spring的SpelExpressionParser根据Spring Security规则,为每个用户动态决定架构的哪些部分。

如果没有选择Spring Security,则可以实现自定义Instrumentation(例如,通过扩展SimpleInstrumentation)。在那里,您可以实现类似beginExecuteOperation的回调,这将使您能够访问已解析的查询(如果您只想仅执行REST样式的顶级身份验证就足够了)或begin(Deferred)Field(您可以访问FieldDefinition)或beginFieldFetch/instrumentDataFetcher(使您可以访问整个DataFetchingEnvironment)以按字段执行身份验证。

如果您采用这种方式,则可以将auth信息(例如所需的角色)保留在字段定义本身中作为指令。并将当前登录的用户保留在共享上下文中。这样,您始终拥有在每个级别进行身份验证所需的一切。

在所有情况下,建议提供GraphqlFieldVisibility以在上下文中完全隐藏受保护字段的存在。

这是一个抽象示例,展示了使用Instrumentation方法的要点(由于Spring Security方法不需要特殊之处,因此请照常使用Spring Security):

//Checks if the current user has the needed roles for each field
public class AuthInstrumentation extends SimpleInstrumentation {
    @Override
    public DataFetcher<?> instrumentDataFetcher(DataFetcher<?> dataFetcher, InstrumentationFieldFetchParameters parameters) {
        GraphQLFieldDefinition fieldDefinition = parameters.getEnvironment().getFieldDefinition();
        //Each protected field is expected to have a directive called "auth" with an argument called "rolesRequired" that is a list of strings representing the roles
        Optional<GraphQLArgument> rolesRequired = DirectivesUtil.directiveWithArg(fieldDefinition.getDirectives(), "auth", "rolesRequired");
        if (rolesRequired.isPresent()) {
            List<String> roles = (List<String>) rolesRequired.get().getValue();
            User currentUser = parameters.getEnvironment().getContext(); //get the user from context
            if (!currentUser.getRoles().containsAll(roles)) {
                //Replace the normal resolution logic with the one that always returns null (or throws an exception) when the user doesn't have access
                return env -> null;
            }
        }
        return super.instrumentDataFetcher(dataFetcher, parameters);
    }
}

您不必在指令中存储必需的角色,这只是一个方便的地方。如果合适,您可以从外部来源获得相同的信息。

然后注册此工具:

GraphQL graphQL = GraphQL.newGraphQL(schema)
    .instrumentation(new AuthInstrumentation())
    .build();

执行查询时,将当前用户置于上下文中:

//Get the current user's roles however you normally do
User user = loadUser(userName);
ExecutionInput input = ExecutionInput.newExecutionInput()
    .query(operation)
    .context(user) //put the user into context so the instrumentation can get it
    .build()

这样,即使不使用Spring Security,您也可以将所有内容整齐地分开(解析器中没有身份验证逻辑,不需要外部上下文),并且每个字段都有上下文上下文。

让我们走得更远,并创建一个自定义GraphqlFieldVisibility

public class RoleBasedVisibility implements GraphqlFieldVisibility {

    private final User currentUser;

    public RoleBasedVisibility(User currentUser) {
        this.currentUser = currentUser;
    }

    @Override
    public List<GraphQLFieldDefinition> getFieldDefinitions(GraphQLFieldsContainer fieldsContainer) {
        return fieldsContainer.getFieldDefinitions().stream()
                .filter(field -> isFieldAllowed(field, currentUser))
                .collect(Collectors.toList());
    }

    @Override
    public GraphQLFieldDefinition getFieldDefinition(GraphQLFieldsContainer fieldsContainer, String fieldName) {
        GraphQLFieldDefinition fieldDefinition = fieldsContainer.getFieldDefinition(fieldName);
        return fieldDefinition == null || !isFieldAllowed(fieldDefinition, currentUser) ? null : fieldDefinition;
    }

    private boolean isFieldAllowed(GraphQLDirectiveContainer field, User user) {
        //Same as above, extract this into a common function
        Optional<GraphQLArgument> rolesRequired = DirectivesUtil.directiveWithArg(field.getDirectives(), "auth", "rolesRequired");
        List<String> roles = (List<String>) rolesRequired.get().getValue();
        return currentUser.getRoles().containsAll(roles);
    }
}

如您所见,可见性取决于用户,这一次您无法从上下文中获得可见性,因此您必须根据请求实例化它。这意味着您还需要转换架构并根据请求实例化GraphQL 。其余的都一样。

GraphQLSchema schema = baseSchema.transform(
    schemaBuilder -> schemaBuilder.fieldVisibility(new RoleBasedVisibility(currentUser)));
GraphQL graphQL = GraphQL.newGraphQL(schema)
        .instrumentation(new AuthInstrumentation())
        .build();

有了它,您便拥有了完整的安全设置。如果未经授权的用户不允许,则甚至都不知道该字段存在。如果允许他们一般查看它,但只能有条件地获取它,则AuthInstrumentation会对其进行覆盖。

相关问题
最新问题