Laravel Lighthouse 限制突变场
Posted
技术标签:
【中文标题】Laravel Lighthouse 限制突变场【英文标题】:Laravel Lighthouse restrict mutation field 【发布时间】:2020-12-25 22:04:41 【问题描述】:我想保护内容类型的某些特定字段,只允许管理员用户修改值,但允许用户访问它。
想象一下 User
类型与 is_admin
字段。只有管理员才能更新它,但每个人都应该能够阅读它。
type User
id: ID!
name: String!
email: String!
is_admin: Boolean!
can 指令似乎不适用于突变中的字段。起初我尝试使用自定义策略添加@can(ability: "setAdmin")
,但没有任何效果。用于突变的相同 can/policy “有效”,但这不够精细。
似乎自定义字段限制using a custom directive 应该有所帮助,但这似乎也不适用于突变输入类型的字段级别。
type mutation
updateUser(
input: UpdateUserInput! @spread
): User @update @middleware(checks: ["auth:api"])
input UpdateUserInput
id: ID!
name: String!
email: String!
is_admin: Boolean! @adminOnly
在app/GraphQL/Directives/AdminOnlyDirective.php
中使用这个自定义指令
<?php
namespace App\GraphQL\Directives;
use Closure;
use GraphQL\Type\Definition\ResolveInfo;
use Nuwave\Lighthouse\Exceptions\DefinitionException;
use Nuwave\Lighthouse\Schema\Directives\BaseDirective;
use Nuwave\Lighthouse\Schema\Values\FieldValue;
use Nuwave\Lighthouse\Support\Contracts\DefinedDirective;
use Nuwave\Lighthouse\Support\Contracts\FieldMiddleware;
use Nuwave\Lighthouse\Support\Contracts\GraphQLContext;
class AdminOnlyDirective extends BaseDirective implements FieldMiddleware, DefinedDirective
/**
* Name of the directive as used in the schema.
*
* @return string
*/
public function name(): string
return 'adminOnly';
public static function definition(): string
return /** @lang GraphQL */ <<<GRAPHQL
"""
Limit field update to only admin.
"""
directive @adminOnly() on FIELD_DEFINITION
GRAPHQL;
public function handleField(FieldValue $fieldValue, Closure $next): FieldValue
$originalResolver = $fieldValue->getResolver();
return $next(
$fieldValue->setResolver(
function ($root, array $args, GraphQLContext $context, ResolveInfo $resolveInfo) use ($originalResolver)
$user = $context->user();
if (
// Unauthenticated users don't get to see anything
! $user
// The user's role has to match have the required role
|| !$user->is_admin
)
return null;
return $originalResolver($root, $args, $context, $resolveInfo);
)
);
那么,有没有办法通过 laravel lighthouse 防止“更新”特定字段?
【问题讨论】:
【参考方案1】:我想到的第一个想法是创建两个不同的输入和/或突变。例如。对于有权访问该字段的管理员:
updateUserAsAdmin(
input: UpdateUserFullInput! @spread
): User @update
@middleware(checks: ["auth:api"])
@can("users.update.full")
而UpdateUserFullInput
包含is_admin
字段。
我也遇到过几次这个讨论:https://github.com/nuwave/lighthouse/issues/325 也许你也可以在这里找到一些有用的想法。
您可能还想查看官方文档:https://github.com/nuwave/lighthouse/blob/master/docs/master/security/authorization.md#custom-field-restrictions
【讨论】:
谢谢,我可能会将此解决方案与 Soo Xiao Tong 的答案一起使用,因为它们可以互补。对于我的用例,我会将突变重命名为 updateUser 和 updateOwnUser 或类似名称。【参考方案2】:目前,您可以在插入数据库之前使用https://lighthouse-php.com/4.16/custom-directives/argument-directives.html#argtransformerdirective 将该字段转换为null
,或者只是抛出错误以避免更改您的特定字段,这就像@trim 的行为方式一样;
在 Lighthouse v5 中,它的类 ArgTransformerDirective
已重命名为 ArgSanitizerDirective
,方法 transform
已重命名为 sanitize
https://github.com/nuwave/lighthouse/blob/v5.0-alpha.3/src/Schema/Directives/TrimDirective.php
额外:
我仍在研究@can 的工作原理,因为我仍然需要删除整个属性,而不是将 null 传递给我的数据库;
更新:@只能适用于input
类型而不是input
类型
【讨论】:
> 在 lighthouse v5 中,它的类 ArgTransformerDirective 已重命名为 ArgSanitizerDirective 和方法 transform 以进行清理 这是不正确的。ArgSanitizerDirective
已添加,ArgTransformerDirective
保持不变。区别在于执行顺序:Santize -> Validate -> Transform。
非常感谢,它看起来是最灵活的解决方案,但是我们如何才能从 transform 方法中访问 $context->user()
呢?
@idFlood 只需使用 Auth::user() 就可以了,这里有一些关于问题 github.com/nuwave/lighthouse/issues/1559 的额外讨论以上是关于Laravel Lighthouse 限制突变场的主要内容,如果未能解决你的问题,请参考以下文章
变异中的 Laravel LightHouse GraphQL DateTime 输入始终为空
Laravel Lighthouse Graphql HasOne 嵌套关系不起作用
使用 Laravel Lighthouse 在 Laravel 7 中出现 CORS 错误
在 Laravel/Lighthouse GraphQL API 中实现搜索功能