如何防止更新 AWS Amplify GraphQL API 的 ownerField？

Posted 2023-02-19

【中文标题】如何防止更新 AWS Amplify GraphQL API 的 ownerField？

【英文标题】：How do you prevent updates to the ownerField of an AWS Amplify GraphQL API?

【发布时间】：2021-05-21 20:11:38

【问题描述】：

我使用 AWS 的 Amplify 创建了一个 GraphQL API。在架构中，我有一个如下所示的 Comment 模型：

type Comment
  @auth(rules: [ allow: owner ,  allow: private, operations: [read] ,  allow: public, operations: [read] ])
  @model
  @key(name: "byAuthor", fields: ["authorID"])
  @key(name: "byPost", fields: ["postID"]) 
  content: String!
  createdAt: AWSDateTime!
  id: ID!
  owner: String
  postID: ID!
  updatedAt: AWSDateTime!

这授予所有者创建、读取、更新和删除的权限，并将未经身份验证/经过身份验证的非所有者用户限制为只读。这按预期工作；但是，所有者可以更新 ownerField 的值，本质上是将评论归因于另一个用户……这是一个禁忌。为了防止这种情况，我尝试使用字段级权限（见下文）；但是，这似乎并没有停止更新。

...
owner: String @auth(rules: [ allow: owner, operations: [ create ]])
...

我有什么遗漏吗？非常感谢任何帮助 - 谢谢！

【问题讨论】：

我尝试将***身份验证规则设置为仅允许所有者的创建、读取和删除操作，并更改内容字段上的字段级身份验证以更新以查看是否相反会工作，我仍然可以更新所有者字段。

【参考方案1】：

你很亲密。使用字段级@auth 指令，您希望明确授予所有者create 和read 的能力，并明确拒绝世界拥有update 和delete 的能力。它可能看起来像：

type Todo
    @model
    @auth(rules: [ allow: owner, ownerField: "author" ]) 
    id: ID!
    name: String!
    author: String
        @auth(
            rules: [
                 allow: groups, groups: ["FORBIDDEN"], operations: [update, delete] 
                 allow: owner, ownerField: "author", operations: [create, read] 
            ]
        )

这里，“FORBIDDEN”组是一个不存在的组。它的名称可以是任何名称，只要您将来不打算使用该名称实际创建组即可。因为用户永远不会拥有“FORBIDDEN”组声明，所以该字段上的任何/所有 update 或 delete 操作都将失败。