Допустим, у нас есть книжный магазин и объект автора, чтобы показать автору статистику его доходов, мы хотим проверить, действительно ли аутентифицированный пользователь является автором. Итак, у нас есть:
@UseGuards(GqlAuthGuard)
@ResolveField(() => [Eearning], { name: 'earnings' })
async getEarnings(
@Parent() author: Author,
@GqlUser() user: User,
) {
if (user.id !== author.id)
throw new UnauthorizedException(
'Each author can only view their own data',
);
// rest of the function implementation
}
Мы могли бы запросить это:
query {
author(id: "2bd79-6d7f-76a332b06b") {
earnings {
sells
}
}
}
Теперь представьте, что мы хотим использовать собственный Guard вместо этого оператора if. Что-то вроде ниже:
@Injectable()
export class AutherGuard implements CanActivate {
canActivate(context: ExecutionContext): boolean {
const ctx = GqlExecutionContext.create(context);
// const artistId = ?
}
}
Как я могу получить доступ к аргументу id
, указанному в запросе author
, когда AutherGuard
используется для обработчика getEarnings
?
Я согласен. Но проблема в том, что author()
получает аргумент id
за общедоступную информацию, доступную всем пользователям. (как author.books
). Если я использую текущий идентификатор автора, и он ввел id
, отличный от своего id
, я все равно хочу показать правильную ошибку, а не просто пассивно возвращать их данные (а не данные идентификатора, который они ввели)
Не уверен, насколько это задокументировано, но доступ к родительскому объекту можно получить с помощью метода getRoot
:
const gqlContext = GqlExecutionContext.create(context);
const root = gqlContext.getRoot();
const authorId = root.id;
На самом деле у нас есть вспомогательная функция, которую мы используем следующим образом:
export function getArgs(context: ExecutionContext): any {
if (context.getType<GqlContextType>() === "graphql") {
const gqlContext = GqlExecutionContext.create(context);
return { ...gqlContext.getArgs(), $parent: gqlContext.getRoot() };
} else if (context.getType() === "http") {
return context.switchToHttp().getRequest().params;
}
}
...
const args = getArgs(context);
const authorId = _.get(args, "$parent.id");
Ну, это решает мою проблему! Однако у нас по-прежнему нет доступа к родительским аргументам. Если переданный аргумент не может быть извлечен родительским объектом, то нет способа получить этот аргумент. (Помимо разбора строки запроса GraphQL)
Если пользователь может видеть только свой заработок, то нет необходимости передавать идентификатор автора в запрос. Просто используйте идентификатор текущего пользователя. (Я стараюсь никогда не передавать идентификатор текущего пользователя от клиента к серверу, поскольку он избыточен и создает возможности для олицетворения)