基于字段值的 AWS Amplify GraphQL 授权

Posted

技术标签:

【中文标题】基于字段值的 AWS Amplify GraphQL 授权【英文标题】:AWS Amplify GraphQL authorization based on field values 【发布时间】:2021-10-04 07:25:47 【问题描述】:

我有一个 AWS Amplify 项目,它在 Cognito 中有三个不同的用户组。管理员、教师和学生组。我也有一个像这样的 GraphQL Schema。

type DriveTime @model 
  id: ID!
  start: AWSDateTime!
  end: AWSDateTime!
  openRegistration: AWSDateTime!
  closeRegistration: AWSDateTime!
  vehicle: Vehicle @connection(name: "VehicleDriveConnection")
  instructor: Instructor @connection(name: "InstructorDriveConnection")
  student: Student @connection(name: "StudentDriveConnection")
  evaluation: DriveEvaluation @connection(name: "DriveEvaluationConnection")

基本上管理员或讲师会安排学生可以注册的时间。

我想创建允许以下内容的授权规则:

管理员组可以读取、写入、更新和删除任何内容。

教师组可以读取、写入、更新和删除任何内容。

学生组只能读取(当前日期在 openRegistration 和 closeRegistration 字段内)或(学生字段与登录的学生匹配)。

如果当前日期在 openRegistration 和 closeRegistration 字段内,并且学生字段为空,则学生可以自己注册 DriveTime。

如果学生字段与登录的学生匹配,并且当前日期早于开始字段,则学生可以写入学生字段以取消注册或取消。

Amplify GraphQL @Auth 能做到这一点吗?

【问题讨论】:

【参考方案1】:

阅读文档:

[1]https://docs.amplify.aws/cli/graphql-transformer/auth

[2]https://docs.amplify.aws/cli/graphql-transformer/directives#aws-appsync-provided-directives

[3]https://aws.amazon.com/blogs/mobile/graphql-security-appsync-amplify/

您的某些要求可能没有开箱即用的支持,这意味着您可能必须创建自定义逻辑 - 请查看 Lambda Resolvers:https://docs.amplify.aws/cli/graphql-transformer/function#usage

【讨论】:

我知道@Auth 能够满足我列出的一些要求,但不确定其他要求。我最终让它与使用this tutorial 的自定义 Lambda 解析器一起工作。然后,我使用this gist 作为指导,了解如何配置权限以从 Lambda 解析器调用我的 GraphQL API。

以上是关于基于字段值的 AWS Amplify GraphQL 授权的主要内容,如果未能解决你的问题,请参考以下文章

通过 AWS amplify 和 ElasticSearch 查找地理和其他字段

如何按日期(createdAt)对aws-amplify中列表查询中的字段进行排序?

AWS Amplify 突变调用返回“UnknownArgument 类型的验证错误:未知字段参数”

在 React 应用程序中为基于 JavaScript AWS Amplify SDK / AWS Cognito 的身份验证分离用户池

在 AWS Amplify GraphQL DynamoDB 中按另一个表的字段(也称为交叉表或嵌套过滤)过滤列表查询

aws amplify graphql 计算域内联解析器