Strapi GraphQL - Безопасность (заголовок bearer_token)
Есть ли способ защитить запросы GraphQL в Strapi?
Я разрабатываю приложение на Angular 6 (фронтенд) и Strapi (бэкэнд). В идеале я хотел бы разрешить запросы только с авторизованным bearer_token.
Ура, Родриго
@KarolTrybulec, ты прав, это безголовый cms, однако я не об этом спрашиваю. В настоящее время стандартные маршруты действительно проверяют bearer_token в соответствии с ролями (красиво). Я хочу добиться того же с помощью реализации graphql. Вы создали промежуточное ПО для реализации GraphQL? если да, то не могли бы вы привести пример?
Ответы 1
Раздел «Пользователи и разрешения» на панели администратора основан на действиях контроллеров, а не на маршрутах. Поскольку по умолчанию запросы GraphQL используют эти действия, вы можете использовать раздел Пользователи и разрешения для управления правилами безопасности GraphQL.
Если вы хотите добавить дополнительную логику или защитить свои собственные преобразователи GraphQL, загляните в этот раздел документации: https://strapi.io/documentation/guides/graphql.html#execute-a-policy-before-a-resolver.
Я могу выполнить мутацию deleteUser без авторизации. Разве это не должно быть защищено по умолчанию?
@ivoba, вы можете управлять этим в «Роли и разрешениях». Выберите «Общедоступный», затем назначьте необходимые разрешения для общедоступных документов / конечных точек.
Strapi - это безголовая CMS, написанная на Node. Просто добавьте промежуточное ПО для проверки подлинности для проверки определенных конечных точек.