权限

本文属使用Prisma构建GraphQL服务系列。

在本教程中,您将学习如何在使用Prisma和graphql-yoga构建GraphQL服务器时实施权限规则。

为了达到本教程的目的,您将从使用 node-advanced 的GraphQL样板项目(已经附带开箱即用的认证)开始。然后,您将逐渐调整现有的解析器以解决API的权限需求。开搞!

引导GraphQL服务

在使用graphql create引导GraphQL服务之前,您需要先安装GraphQL CLI。

(1) 打开终端,安装GraphQL CLI:

npm install -g graphql-cli

注意:为了本教程目的,您不必明确地安装Prisma CLI,因为prismanode-advanced样板中被列为开发依赖(package.json中devDependencies)项,允许通过在命令前加上yarn前缀来运行,如:yarn prisma deploy 或yarn prisma playground。如果您的机器上全局安装了prisma(使用npm install -g prisma全局安装),则在本教程中无需使用yarn`前缀。

一旦CLI安装完毕,您可以创建您的GraphQL服务。

(2) 在终端中,切换到到您选择的目录并运行以下命令:

graphql create permissions-example --boilerplate node-advanced

(3) 当提示您在何处(即向哪个群集cluster)部署您的Prisma服务时,请选择其中一个公共群集选项:prisma-eu1prisma-us1

注意:您也可以在本地部署Prisma服务,但这需要您在机器上安装Docker。为了本教程的目的,我们将简单直接的使用公共集群。

这将创建一个名为permissions-example的新目录,其中它将放置GraphQL服务的源文件(基于graphql-yoga)以及所属的Prisma database服务所需的配置。

GraphQL服务基于以下数据模型(data model):

type Post {
  id: ID! @unique
  createdAt: DateTime!
  updatedAt: DateTime!
  isPublished: Boolean! @default(value: "false")
  title: String!
  text: String!
  author: User!
}

type User {
  id: ID! @unique
  email: String! @unique
  password: String!
  name: String!
  posts: [Post!]!
}

添加ADMIN角色

在本教程中,一个User可以是管理员(具有特殊访问权限),也可以是简单的客户。要区分这些类型的User,您需要修改数据模型并添加一个定义这些角色的枚举。

(4) 打开 database/datamodel.graphql 并更新数据模型中的User类型,如下所示,请注意,您还需要添加Role枚举:

type User {
  id: ID! @unique
  email: String! @unique
  password: String!
  name: String!
  posts: [Post!]!
+ role: Role! @default(value: "CUSTOMER")
}

enum Role {
  ADMIN
  CUSTOMER
}

请注意,role字段不会通过您的GraphQL服务的API公开(就像password字段一样),因为在application schema中定义的User类型中没有它。application schema只定义将向客户端公开的哪些数据。

需要部署以应用更改。

(5)permissions-example目录中,运行以下命令:

yarn prisma deploy

现在您的数据模型和Prisma API被更新并包含User类型的role字段。

定义权限需求

src/schema.graphql中定义的application schema暴露了以下查询(queries)和突变(mutations):

type Query {
  feed: [Post!]!
  drafts: [Post!]!
  post(id: ID!): Post!
  me: User
}

type Mutation {
  signup(email: String!, password: String!, name: String!): AuthPayload!
  login(email: String!, password: String!): AuthPayload!
  createDraft(title: String!, text: String!): Post!
  publish(id: ID!): Post!
  deletePost(id: ID!): Post!
}

目前,我们只对与Post类型相关的解析器(Resolvers)感兴趣。以下是我们对其的权限要求:

  • feed:没有权限要求。所有人(不仅是经过身份验证的用户)应该能够访问feed——发布的Post节点。
  • drafts:每个用户应该只能访问他们自己的草稿,即Post的作者(author)。
  • post:只有post作者(author)或ADMIN用户才能够使用post查询访问Post节点。
  • publish:只有Post的作者才能发布它。
  • deletePost:只有Post的作者(author)或ADMIN用户才能删除它。

实现权限规则:使用graphql-yoga和Prisma

在使用Prisma和graphql-yoga实现权限规则时,基本思想是在每个解析器中实施“数据访问检查(data access check)”。只有检查成功,操作(查询,变异或订阅)才会使用可用的prisma-binding转发到Prisma服务。

现在逐渐将这些“数据访问检查”添加到现有的解析器中。

feed

由于所有人都可以访问feed查询,因此不需要在此处执行检查。

drafts

对于drafts查询,我们有以下需求:

每个用户应该只能访问他们自己的草稿,即Post的作者(author)。

目前,drafts解析器的实现如下:

drafts(parent, args, ctx, info) {
  const id = getUserId(ctx)

  const where = {
    isPublished: false,
    author: {
      id
    }
  }

  return ctx.db.query.posts({ where }, info)
},

事实上,这已经满足了这个需求,因为它过滤了posts,仅检索当前登录用户的Post数据。所以,此处就这样。

post

对于post查询,我们有以下要求:

只有post作者(author)或ADMIN用户才能够使用post查询访问Post节点。

以下是当前实现:

post(parent, { id }, ctx, info) {
  return ctx.db.query.post({ where: { id } }, info)
}

如此简单直接!但是现在,如果发送请求的User是其作者(author)或ADMIN用户,那么您需要确保它仅返回一个Post。

(6) 更新src/resolvers/Query.js中解析器的实现,如下所示:

async post(parent, { id }, ctx, info) {
  const userId = getUserId(ctx)
  const requestingUserIsAuthor = await ctx.db.exists.Post({
    id,
    author: {
      id: userId,
    },
  })
  const requestingUserIsAdmin = await ctx.db.exists.User({
    id: userId,
    role: 'ADMIN',
  })

  if (requestingUserIsAdmin || requestingUserIsAuthor) {
    return ctx.db.query.post({ where: { id } }, info)
  }
  throw new Error(
    'Invalid permissions, you must be an admin or the author of this post to retrieve it.',
  )
}

通过这两个exists的调用,您可以收集有关以下内容的信息:

  • 发送请求的User实际上是被请求的Post的作者(author)。
  • 发送请求的User的是ADMIN

如果这些条件中的任何一个为真,您只需返回Post,否则返回权限不足的错误信息。

publish

publish突变具有以下要求:

只有Post的作者才能发布它。

发布解析器在src/resolvers/Mutation/post.js中实现,目前看起来如下所示:

async publish(parent, { id }, ctx, info) {
  const userId = getUserId(ctx)
  const postExists = await ctx.db.exists.Post({
    id,
    author: { id: userId },
  })
  if (!postExists) {
    throw new Error(`Post not found or you're not the author`)
  }

  return ctx.db.mutation.updatePost(
    {
      where: { id },
      data: { isPublished: true },
    },
    info,
  )
},

当前exists的调用已经确保发送请求的User被设置为要发布的Post的作者(author)。所以,你实际上也不必做任何改变,而且这项要求已经被满足了。

deletePost

deletePost突变有以下要求:

只有Post的作者(author)或ADMIN用户才能删除它。

当前的解析器在src/resolvers/Mutation/post.js中实现,如下所示:

async deletePost(parent, { id }, ctx, info) {
  const userId = getUserId(ctx)
  const postExists = await ctx.db.exists.Post({
    id,
    author: { id: userId },
  })
  if (!postExists) {
    throw new Error(`Post not found or you're not the author`)
  }

  return ctx.db.mutation.deletePost({ where: { id } })
},

又一次,exists调用已确保请求User是要删除的Post的作者author。但是,如果该用户是ADMIN,则该帖子仍应被删除。

(7) 调整src/resolvers/Mutation/post.js 中的deletePost解析器,如下所示:

async deletePost(parent, { id }, ctx, info) {
  const userId = getUserId(ctx)
  const postExists = await ctx.db.exists.Post({
    id,
    author: { id: userId },
  })

+ const requestingUserIsAdmin = await ctx.db.exists.User({
+   id: userId,
+   role: 'ADMIN',
+ })

* if (!postExists && !requestingUserIsAdmin) {
    throw new Error(`Post not found or you don't have access rights to delete it.`)
  }

  return ctx.db.mutation.deletePost({ where: { id } })
},

权限测试

您可以在GraphQL Playground中获得权限。以下是流程:

  • 在Playground中,使用signup突变创建一个新User,并选择(selection)中指定令牌(token),以便服务端返回该令牌(token)(如果您以前已经创建了用户,则当然也可以使用login 突变)
  • 将服务端返回中的令牌保存起来,并将其设置为Playground中的Authorization标头(header)(您将学习如何做到这一点)
  • 所有后续请求现在都代表该用户(User)发送

1.创建新User

你首先需要打开一个GraphQL Playground,但在这之前,你需要启动服务!

(8)permissions-example目录中,在终端中运行以下命令:

yarn start

服务现在运行在 http://localhost:4000.

(9) 浏览器中打开 http://localhost:4000

(10)默认(default)的Playground中app部分,发送以下突变:

mutation {
  signup(
    email: "[email protected]"
    password: "graphql"
    name: "Sarah"
  ) {
    token
  }
}
权限_第1张图片
新用户注册

(11) 复制令牌(token)并将其设置为Playground左下角的Authorization标头(header)。您需要将标头(header)设置为JSON,如下所示(请注意,您需要将TOKEN占位符替换为从signup突变返回的身份验证令牌token):

{
  "Authorization": "__TOKEN__"
}

从现在开始,通过Playground发送的所有请求均代表您刚刚创建的用户(User)发送。

配备这些知识,您现在可以利用可用的查询和变异来验证权限规则是否有效。

例如,您可以通过以下流程:

  1. 代表Sarah(您刚创建的用户)创建一个包含createDraft突变的新草稿。
  2. 使用signup突变创建另一个用户并为他们请求一个令牌(token)。
  3. 使用新的身份验证令牌尝试发布Sarah的草稿。应该会返回以下错误:Post not found or you don't have access rights to delete it.
权限_第2张图片
权限不足错误信息

你可能感兴趣的:(权限)