GraphQL + Relay:如何执行重新获取授权?
Posted
技术标签:
【中文标题】GraphQL + Relay:如何执行重新获取授权?【英文标题】:GraphQL + Relay: How can I perform authorization for refetching? 【发布时间】:2017-06-10 03:04:00 【问题描述】:我正在开发使用 Express 构建的 GraphQL 服务器并尝试支持 Relay。
对于常规的 GraphQL 查询,我可以在 resolve 函数中处理授权。例如:
var queryType = new GraphQLObjectType(
name: 'RootQueryType',
fields: () => (
foo:
type: new GraphQLList(bar),
description: 'I should have access to some but not all instances of bar',
resolve: (root, args, request) => getBarsIHaveAccessTo(request.user)
)
);
为了支持后端的 Relay 重新获取,Facebook 的 Relay 教程指示我们让 GraphQL 对象实现一个 nodeInterface 来将全局 id 映射到对象,并将对象映射到 GraphQL 类型。 nodeInterface 由graphql-relay 中的nodeDefinitions 函数定义。
const nodeInterface, nodeField = nodeDefinitions(
(globalId) =>
const type, id = fromGlobalId(globalId);
if (type === 'bar')
// since I don't have access to the request object here, I can't pass the user to getBar, so getBar can't perform authorization
return getBar(id);
else
return null;
,
(obj) =>
// return the object type
);
传递给 nodeDefinitions 的重新获取函数没有传递请求对象,只有全局 id。如何在重新获取期间访问用户,以便授权这些请求?
作为健全性检查,我尝试通过节点接口查询经过身份验证的用户无法访问(也不应该)访问的节点,并取回请求的数据:
node(id:"id_of_something_unauthorized")
... on bar
field_this_user_shouldnt_see
=>
"data":
"node":
"field_this_user_shouldnt_see": "a secret"
【问题讨论】:
【参考方案1】:事实证明,请求数据确实被传递给解析。如果我们查看源代码,我们会看到nodeDefinitions 抛出了parent 参数并传递了全局id、context(包含请求数据)和来自nodeField 的info 参数s 解析函数。
最终,resolve 调用将获得以下参数:
(parent, args, context, info)
idFetcher 改为:
(id, context, info)
所以我们可以如下实现授权:
const nodeInterface, nodeField = nodeDefinitions(
(globalId, context) =>
const type, id = fromGlobalId(globalId);
if (type === 'bar')
// get Bar with id==id if context.user has access
return getBar(context.user, id);
else
return null;
,
(obj) =>
// return the object type
);
https://github.com/graphql/graphql-relay-js/blob/master/src/node/node.js#L94-L102
【讨论】:
以上是关于GraphQL + Relay:如何执行重新获取授权?的主要内容,如果未能解决你的问题,请参考以下文章
如何将 Realm 与 Relay/GraphQL 一起使用
如何使用 Relay 容器、react-router 和 GraphQL 按 id 获取和显示项目