GraphQL-Ruby中实现查询范围限制的最佳实践

在GraphQL-Ruby项目中，开发者经常需要限制某些查询或变更返回的数据范围。本文将探讨几种在GraphQL-Ruby中实现这一需求的优雅方式。

模型层限制的弊端

传统Rails开发中，开发者可能会考虑在模型中使用default_scope来限制数据范围。例如：

class Author < ApplicationRecord
  default_scope { where(id: 1) }
end

然而，这种做法存在明显缺陷：

1. 影响范围过大，会应用到所有ActiveRecord查询
2. 难以维护和调试
3. 可能导致意外行为

GraphQL-Ruby提供的解决方案

1. 自动加载参数特性

对于变更操作(Mutations)，GraphQL-Ruby提供了自动加载参数特性。通过这种方式，可以在加载对象时自动执行授权检查：

module Mutations
  class AuthorUpdate < BaseMutation
    argument :id, ID, required: true, loads: Types::AuthorType
    
    def resolve(author:)
      # 这里author已经通过授权检查
      author.update(name: "New Name")
    end
  end
end

2. scope_items方法

对于查询操作(Queries)，可以使用scope_items方法来限制返回的数据范围。这是最推荐的方式：

module Types
  class AuthorType < Types::BaseObject
    def self.scope_items(items, context)
      items.where(id: 1)
    end
  end
end

这种方法的好处是：

• 只影响GraphQL查询，不影响其他ActiveRecord操作
• 集中管理授权逻辑
• 可读性强，易于维护

实际应用示例

假设我们需要实现一个只返回id小于10的作者的功能，同时确保所有查询都只返回id为1的作者：

module Types
  class AuthorType < Types::BaseObject
    def self.scope_items(items, context)
      items.where(id: 1)
    end
  end

  class QueryType < Types::BaseObject
    field :authors, [Types::AuthorType], null: false
    
    def authors
      Author.where('id < 10') # 最终只会返回id=1的作者
    end
  end
end

总结

在GraphQL-Ruby中，避免使用模型层的default_scope，而应该利用框架提供的scope_items和自动加载参数特性来实现数据范围限制。这种方式更加灵活、可控，且不会产生副作用。对于变更操作，使用自动加载参数；对于查询操作，使用scope_items方法，这是GraphQL-Ruby项目中的最佳实践。