graphql实现（GraphQL (三) Authentication 和 Authorication）

本文介绍GraphQL中的Authenication和Authorication

参考：

https://graphql.org/learn/authorization/ https://www.apollographql.com/docs/apollo-server/security/authentication/

Authenication和Authorication的区别

Authenication 和 Authorication 的概念十分容易混淆              ，两者的定义如下：

Authenication 指用户认证
 
  
 
  
 
  
 
  
 
  
 
  
 
，即是否有用户登录












，哪个用户登录 Authorication 指用户权限认证  
  
  
  
  
  
  ，再具体的操作中决定用户是否有权利使用查看数据或调用方法

Authenication

提供用户的authenication有多种方式 
  
  
  
  
  
  
，包括HTTP header和JSON web token 
  
  
  
  
  
  。

下面给出一个创建Authenication的示例 创建用户组的schema

分别创建一个用户信息的type


 


 


 


 


 


 

，并定义创建用户和登录的方法

type AuthPayload { token: String! name: String! } input UserCreateInput { name: String! password: String! } type Mutation { createUser(data: UserCreateInput): String login(data: UserCreateInput): AuthPayload logout(data: UserCreateInput, param: Int!): Int } 定义本地CreateUser和Login的Resolver

通常情况下 
 
 
 
 
 
 ，用户在用前端创建用户时  
   
   
   
   
   
   
，会传入用户名和密码

 

 

 

 

 

 
，后端不会直接保存用户密码
 

 

 

 

 

 

 ，而是将用户信息加密为webtoken储存起来             ，而login的情况下
 

 
 

 
 

 
 

 
 

 
 

 
 
，也是会将用户用户名和密码的信息与weebtoken进行比对 
  
  
  
  
  
  
 。

可以在context中












，设置一个用户组缓存来储存数据                    ，同样适用于将用户信息储存于数据库或云端

 


 


 


 


 


 


。 const resolver = { Mutation: { createUser: async (parent: any, args: any, ctx: any, info: any) => { if (args.data.password.length < 8) { throw new Error(Password must be 8 characters or longer.) } const password = await bcrypt.hash(args.data.password, 10); const id = uuidv4(); const token = jwt.sign({ userId: id }, password); ctx.users.push({ id, name: args.data.name, password, token }); return token; }, login: async (parent: any, args: any, ctx: any, info: any) => { const user = ctx.users.find(u => u.name === args.data.name); if (!user) throw Error(User not exist); const isMatch = await bcrypt.compare(args.data.password, user.password); if (!isMatch) throw new Error(Password mismatch); return { name: user.name, token: user.token ? user.token : jwt.sign({ userId: user.id }, password), } }, } }

Authorization

用上述步骤执行完Authentication的操作以后
 
 
 
 
 
 
 
 
 
 
 
 
 
，需要验证用户操作函数是否有权限只需要在相应方法的Resolver中进行验证即可


















，调用Query或Mutation可以在Header中添加一个由后端返回给前端的token              ，示例如下：

后端：

const getUserId = (request) => { const token = request.headers.authorization; if (!token) { throw new Error(Authentication required) } const decoded = jwt.verify(token, password) return decoded.userId } const resolver = { Mutation: { callFunction: async (parent: any, args: any, ctx: any, info: any) => { const id = getUserId(ctx.request); if (!id) throw Error(ID not exist); // Do operation } } }

在Apollo GraphQL中可以在前端的header加一个authorication的字段
 
  
 
  
 
  
 
  
 
  
 
  
 
，输入token：

前端可以在创建Apollo GraohQL Module时












，创建一个MidWare包含我们的header：

const authMiddleware = new ApolloLink((operation: any, forward: any) => { operation.setContext({ headers: new HttpHeaders().set( "Authorization", "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." //Token ), }); return forward(operation); }); export function createApollo(httpLink: HttpLink): ApolloClientOptions<any> { return { link: httpLink.create({uri}), cache: new InMemoryCache(), }; } export function createApolloWithAuth(httpLink: HttpLink): ApolloClientOptions<any> { return { link: from([ authMiddleware, httpLink.create({ uri, }), ]), cache: new InMemoryCache(), }; }