GraphQL + Relay:如何执行重新获取授权?

Posted

技术标签:

【中文标题】GraphQL + Relay:如何执行重新获取授权?【英文标题】:GraphQL + Relay: How can I perform authorization for refetching? 【发布时间】:2017-06-10 03:04:00 【问题描述】:

我正在开发使用 Express 构建的 GraphQL 服务器并尝试支持 Relay。

对于常规的 GraphQL 查询,我可以在 resolve 函数中处理授权。例如:

var queryType = new GraphQLObjectType(
    name: 'RootQueryType',
    fields: () => (
        foo: 
            type: new GraphQLList(bar),
            description: 'I should have access to some but not all instances of bar',
            resolve: (root, args, request) => getBarsIHaveAccessTo(request.user)
        
    )
);

为了支持后端的 Relay 重新获取,Facebook 的 Relay 教程指示我们让 GraphQL 对象实现一个 nodeInterface 来将全局 id 映射到对象,并将对象映射到 GraphQL 类型。 nodeInterface 由graphql-relay 中的nodeDefinitions 函数定义。

const nodeInterface, nodeField = nodeDefinitions(
    (globalId) => 
        const type, id = fromGlobalId(globalId);
        if (type === 'bar') 
            // since I don't have access to the request object here, I can't pass the user to getBar, so getBar can't perform authorization
            return getBar(id);
         else 
            return null;
        
    ,
    (obj) => 
        // return the object type
    
);

传递给 nodeDefinitions 的重新获取函数没有传递请求对象,只有全局 id。如何在重新获取期间访问用户,以便授权这些请求?

作为健全性检查,我尝试通过节点接口查询经过身份验证的用户无法访问(也不应该)访问的节点,并取回请求的数据:

node(id:"id_of_something_unauthorized")
    ... on bar 
        field_this_user_shouldnt_see
    

=>


    "data": 
        "node": 
            "field_this_user_shouldnt_see": "a secret"
        
    

【问题讨论】:

【参考方案1】:

事实证明,请求数据确实被传递给解析。如果我们查看源代码,我们会看到nodeDefinitions 抛出了parent 参数并传递了全局idcontext(包含请求数据)和来自nodeFieldinfo 参数s 解析函数。

最终,resolve 调用将获得以下参数:

(parent, args, context, info)

idFetcher 改为:

(id, context, info)

所以我们可以如下实现授权:

const nodeInterface, nodeField = nodeDefinitions(
    (globalId, context) => 
        const type, id = fromGlobalId(globalId);
        if (type === 'bar') 
            // get Bar with id==id if context.user has access
            return getBar(context.user, id);
         else 
            return null;
        
    ,
    (obj) => 
        // return the object type
    
);

https://github.com/graphql/graphql-relay-js/blob/master/src/node/node.js#L94-L102

【讨论】:

以上是关于GraphQL + Relay:如何执行重新获取授权?的主要内容,如果未能解决你的问题,请参考以下文章

Relay 从哪里获取 GraphQL 的 Schema?

如何将 Realm 与 Relay/GraphQL 一起使用

如何使用 Relay 容器、react-router 和 GraphQL 按 id 获取和显示项目

如何避免在 Relay.createcontainer 内置的 graphql 查询中添加额外的字段?

如何进行示例 GraphQL Relay 突变

如何在 GraphQL Relay 中捕获查询的响应