Laravel Lighthouse 限制突变场

Posted

技术标签:

【中文标题】Laravel Lighthouse 限制突变场【英文标题】:Laravel Lighthouse restrict mutation field 【发布时间】:2020-12-25 22:04:41 【问题描述】:

我想保护内容类型的某些特定字段,只允许管理员用户修改值,但允许用户访问它。

想象一下 User 类型与 is_admin 字段。只有管​​理员才能更新它,但每个人都应该能够阅读它。

type User 
    id: ID!
    name: String!
    email: String!
    is_admin: Boolean!

can 指令似乎不适用于突变中的字段。起初我尝试使用自定义策略添加@can(ability: "setAdmin"),但没有任何效果。用于突变的相同 can/policy “有效”,但这不够精细。

似乎自定义字段限制using a custom directive 应该有所帮助,但这似乎也不适用于突变输入类型的字段级别。

type mutation 
    updateUser(
        input: UpdateUserInput! @spread
    ): User @update @middleware(checks: ["auth:api"])


input UpdateUserInput 
    id: ID!
    name: String!
    email: String!
    is_admin: Boolean! @adminOnly

app/GraphQL/Directives/AdminOnlyDirective.php 中使用这个自定义指令

<?php

namespace App\GraphQL\Directives;

use Closure;
use GraphQL\Type\Definition\ResolveInfo;
use Nuwave\Lighthouse\Exceptions\DefinitionException;
use Nuwave\Lighthouse\Schema\Directives\BaseDirective;
use Nuwave\Lighthouse\Schema\Values\FieldValue;
use Nuwave\Lighthouse\Support\Contracts\DefinedDirective;
use Nuwave\Lighthouse\Support\Contracts\FieldMiddleware;
use Nuwave\Lighthouse\Support\Contracts\GraphQLContext;

class AdminOnlyDirective extends BaseDirective implements FieldMiddleware, DefinedDirective

    /**
     * Name of the directive as used in the schema.
     *
     * @return string
     */
    public function name(): string
    
        return 'adminOnly';
    

    public static function definition(): string
    
        return /** @lang GraphQL */ <<<GRAPHQL
"""
Limit field update to only admin.
"""
directive @adminOnly() on FIELD_DEFINITION
GRAPHQL;
    

    public function handleField(FieldValue $fieldValue, Closure $next): FieldValue
    
        $originalResolver = $fieldValue->getResolver();

        return $next(
            $fieldValue->setResolver(
                function ($root, array $args, GraphQLContext $context, ResolveInfo $resolveInfo) use ($originalResolver) 
                    $user = $context->user();
                    if (
                        // Unauthenticated users don't get to see anything
                        ! $user
                        // The user's role has to match have the required role
                        || !$user->is_admin
                    ) 
                        return null;
                    

                    return $originalResolver($root, $args, $context, $resolveInfo);
                
            )
        );
    

那么,有没有办法通过 laravel lighthouse 防止“更新”特定字段?

【问题讨论】:

【参考方案1】:

我想到的第一个想法是创建两个不同的输入和/或突变。例如。对于有权访问该字段的管理员:

updateUserAsAdmin(
    input: UpdateUserFullInput! @spread
): User @update 
        @middleware(checks: ["auth:api"]) 
        @can("users.update.full")

UpdateUserFullInput 包含is_admin 字段。

我也遇到过几次这个讨论:https://github.com/nuwave/lighthouse/issues/325 也许你也可以在这里找到一些有用的想法。

您可能还想查看官方文档:https://github.com/nuwave/lighthouse/blob/master/docs/master/security/authorization.md#custom-field-restrictions

【讨论】:

谢谢,我可能会将此解决方案与 Soo Xiao Tong 的答案一起使用,因为它们可以互补。对于我的用例,我会将突变重命名为 updateUser 和 updateOwnUser 或类似名称。【参考方案2】:

目前,您可以在插入数据库之前使用https://lighthouse-php.com/4.16/custom-directives/argument-directives.html#argtransformerdirective 将该字段转换为null,或者只是抛出错误以避免更改您的特定字段,这就像@trim 的行为方式一样;

在 Lighthouse v5 中,它的类 ArgTransformerDirective 已重命名为 ArgSanitizerDirective,方法 transform 已重命名为 sanitize

https://github.com/nuwave/lighthouse/blob/v5.0-alpha.3/src/Schema/Directives/TrimDirective.php

额外:

我仍在研究@can 的工作原理,因为我仍然需要删除整个属性,而不是将 null 传递给我的数据库;

更新:@只能适用于input类型而不是input类型

【讨论】:

> 在 lighthouse v5 中,它的类 ArgTransformerDirective 已重命名为 ArgSanitizerDirective 和方法 transform 以进行清理 这是不正确的。 ArgSanitizerDirective 已添加,ArgTransformerDirective 保持不变。区别在于执行顺序:Santize -> Validate -> Transform。 非常感谢,它看起来是最灵活的解决方案,但是我们如何才能从 transform 方法中访问 $context-&gt;user() 呢? @idFlood 只需使用 Auth::user() 就可以了,这里有一些关于问题 github.com/nuwave/lighthouse/issues/1559 的额外讨论

以上是关于Laravel Lighthouse 限制突变场的主要内容,如果未能解决你的问题,请参考以下文章

变异中的 Laravel LightHouse GraphQL DateTime 输入始终为空

Laravel Lighthouse Graphql HasOne 嵌套关系不起作用

使用 Laravel Lighthouse 在 Laravel 7 中出现 CORS 错误

在 Laravel/Lighthouse GraphQL API 中实现搜索功能

如何在lighthouse graphql laravel中获取自定义指令参数?

Laravel Lighthouse 配置 - 无法找到可发布的资源