Laravel Lighthouse 限制突变场

Posted 2023-03-08

【中文标题】Laravel Lighthouse 限制突变场

【英文标题】：Laravel Lighthouse restrict mutation field

【发布时间】：2020-12-25 22:04:41

【问题描述】：

我想保护内容类型的某些特定字段，只允许管理员用户修改值，但允许用户访问它。

想象一下 User 类型与 is_admin 字段。只有管​​理员才能更新它，但每个人都应该能够阅读它。

type User 
    id: ID!
    name: String!
    email: String!
    is_admin: Boolean!

can 指令似乎不适用于突变中的字段。起初我尝试使用自定义策略添加@can(ability: "setAdmin")，但没有任何效果。用于突变的相同 can/policy “有效”，但这不够精细。

似乎自定义字段限制using a custom directive 应该有所帮助，但这似乎也不适用于突变输入类型的字段级别。

type mutation 
    updateUser(
        input: UpdateUserInput! @spread
    ): User @update @middleware(checks: ["auth:api"])


input UpdateUserInput 
    id: ID!
    name: String!
    email: String!
    is_admin: Boolean! @adminOnly

在app/GraphQL/Directives/AdminOnlyDirective.php 中使用这个自定义指令

<?php

namespace App\GraphQL\Directives;

use Closure;
use GraphQL\Type\Definition\ResolveInfo;
use Nuwave\Lighthouse\Exceptions\DefinitionException;
use Nuwave\Lighthouse\Schema\Directives\BaseDirective;
use Nuwave\Lighthouse\Schema\Values\FieldValue;
use Nuwave\Lighthouse\Support\Contracts\DefinedDirective;
use Nuwave\Lighthouse\Support\Contracts\FieldMiddleware;
use Nuwave\Lighthouse\Support\Contracts\GraphQLContext;

class AdminOnlyDirective extends BaseDirective implements FieldMiddleware, DefinedDirective

    /**
     * Name of the directive as used in the schema.
     *
     * @return string
     */
    public function name(): string
    
        return 'adminOnly';
    

    public static function definition(): string
    
        return /** @lang GraphQL */ <<<GRAPHQL
"""
Limit field update to only admin.
"""
directive @adminOnly() on FIELD_DEFINITION
GRAPHQL;
    

    public function handleField(FieldValue $fieldValue, Closure $next): FieldValue
    
        $originalResolver = $fieldValue->getResolver();

        return $next(
            $fieldValue->setResolver(
                function ($root, array $args, GraphQLContext $context, ResolveInfo $resolveInfo) use ($originalResolver) 
                    $user = $context->user();
                    if (
                        // Unauthenticated users don't get to see anything
                        ! $user
                        // The user's role has to match have the required role
                        || !$user->is_admin
                    ) 
                        return null;
                    

                    return $originalResolver($root, $args, $context, $resolveInfo);
                
            )
        );
    

那么，有没有办法通过 laravel lighthouse 防止“更新”特定字段？

【参考方案1】：

我想到的第一个想法是创建两个不同的输入和/或突变。例如。对于有权访问该字段的管理员：

updateUserAsAdmin(
    input: UpdateUserFullInput! @spread
): User @update 
        @middleware(checks: ["auth:api"]) 
        @can("users.update.full")

而UpdateUserFullInput 包含is_admin 字段。

我也遇到过几次这个讨论：https://github.com/nuwave/lighthouse/issues/325 也许你也可以在这里找到一些有用的想法。

您可能还想查看官方文档：https://github.com/nuwave/lighthouse/blob/master/docs/master/security/authorization.md#custom-field-restrictions

【讨论】：

谢谢，我可能会将此解决方案与 Soo Xiao Tong 的答案一起使用，因为它们可以互补。对于我的用例，我会将突变重命名为 updateUser 和 updateOwnUser 或类似名称。

【参考方案2】：

目前，您可以在插入数据库之前使用https://lighthouse-php.com/4.16/custom-directives/argument-directives.html#argtransformerdirective 将该字段转换为null，或者只是抛出错误以避免更改您的特定字段，这就像@trim 的行为方式一样；

在 Lighthouse v5 中，它的类 ArgTransformerDirective 已重命名为 ArgSanitizerDirective，方法 transform 已重命名为 sanitize

https://github.com/nuwave/lighthouse/blob/v5.0-alpha.3/src/Schema/Directives/TrimDirective.php

额外：

我仍在研究@can 的工作原理，因为我仍然需要删除整个属性，而不是将 null 传递给我的数据库；

更新：@只能适用于input类型而不是input类型

【讨论】：

> 在 lighthouse v5 中，它的类 ArgTransformerDirective 已重命名为 ArgSanitizerDirective 和方法 transform 以进行清理 这是不正确的。 ArgSanitizerDirective 已添加，ArgTransformerDirective 保持不变。区别在于执行顺序：Santize -> Validate -> Transform。

非常感谢，它看起来是最灵活的解决方案，但是我们如何才能从 transform 方法中访问 $context->user() 呢？

@idFlood 只需使用 Auth::user() 就可以了，这里有一些关于问题 github.com/nuwave/lighthouse/issues/1559

的额外讨论