Авторизация в GraphQL

Пара функций, которые мне очень нравятся в GraphQL, - это строгая система типов и самодокументирующийся API, использующий GraphiQL и игровую площадку. Нет необходимости тратить лишнее время и силы на написание документации по API. Благодаря талантливым ребятам из Apollo и Prisma, внедрение GraphQL-сервера производственного уровня стало проще простого.

Однако для большинства серверных программ API требуется аутентификация и авторизация. В GraphQL есть много способов добиться этого.

В этой статье я расскажу об одном из таких подходов к реализации авторизации.

Для реализации логики авторизации воспользуемся директивой GraphQL. Поскольку директивы GraphQL могут быть прикреплены к полю, у нас может быть авторизация на уровне поля. См. Фрагмент кода ниже:

Запрос getPosts не требует аутентифицированного пользователя. С другой стороны, мутация createPost строго требует аутентифицированного пользователя.

Директива isAuthenticated, прикрепленная к createPost, проверяет токен аутентификации и на основе флага strict выдает ошибку GraphQL в случае сбоя авторизации.

Мы можем реализовать эту директиву с помощью библиотеки graphql-tools:

Последний шаг - настроить сервер для использования нашей директивы. Мы будем использовать graphql-yoga для настройки сервера.

Вывод

Использование директивы GraphQL для обработки авторизации имеет несколько преимуществ:

Разделение озабоченности

Наш код обработки token живет в директиве. Таким образом, преобразователи могут просто использовать полностью гидратированный пользовательский объект через context.currentUser. При необходимости мы можем расширить директиву для поддержки авторизации на основе ролей, просто приняв другой аргумент @isAuthenticated(strict: true, roles: ['ADMIN'])

Документация

Директива @isAuthenticated указывается рядом с полями в schema.graphql, поэтому легко увидеть, для каких API требуется аутентифицированный пользователь. Также мы обновляем field.description символом 🔑! Так что это будет видно в GraphiQL или playground пользовательском интерфейсе. Мы также можем задокументировать роли, необходимые для доступа к API, и так далее.

Соглашаться? Не согласны? Вопросы? Просто дайте мне знать здесь, в комментариях. И если вам понравилась эта статья, подумайте о том, чтобы опубликовать ее и поделиться ею!

смотрите также:

Новые материалы

Как проанализировать работу вашего классификатора?

Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..

Работа с цепями Маркова, часть 4 (Машинное обучение)

Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..

Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]

Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..

Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter

Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..

Учебные заметки: создание моего первого пакета Node.js

Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..

Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!

Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..

ИИ в аэрокосмической отрасли

Каждый полет – это шаг вперед к великой мечте. Чтобы это происходило в их собственном темпе, необходима команда астронавтов для погони за космосом и команда технического обслуживания..

Метки

Machine Learning JavaScript Data Science Artificial Intelligence Software Development Python Web Development Coding Deep Learning AI React Software Engineering Nodejs Java Front End Development Typescript Computer Science Data Algorithms Development NLP Tech Programming Languages CSS ChatGPT HTML Python Programming Javascript Tips Angular Computer Vision Data Visualization Neural Networks Startup Tutorial Statistics Productivity Reactjs Learning