GraphQL.NET 授权工具集最佳实践指南

1. 项目介绍

graphql-dotnet-authorization 是一个为 GraphQL.NET 提供授权支持的开源工具集。它允许开发者在 GraphQL 的类型和字段级别上进行细粒度的访问控制，通过集成策略（Policy）来管理权限。这个项目填补了 GraphQL.NET 在授权方面的空白，使得开发者可以在不牺牲灵活性的前提下，确保应用程序的安全性。

2. 项目快速启动

安装

首先，确保你已经安装了 GraphQL.NET 和必要的依赖项。

dotnet add package GraphQL.Authorization

配置

在你的依赖注入容器中注册授权类，通常在 AddGraphQL 扩展方法中的 IGraphQLBuilder 上调用 AddAuthorization。

services.AddGraphQL(options =>
{
    options.Enable.setDataLoader = true;
    options.ExposeExceptions = true;
})
.AddAuthorization()
.AddGraphTypes(typeof(Program).Assembly);

使用策略

在 AuthorizationSettings 中添加策略，并使用 AuthorizeWithPolicy 扩展方法或 AuthorizeAttribute 属性应用策略到 GraphType 或 Field。

public class MyType : ObjectGraphType
{
    public MyType()
    {
        this.AuthorizeWithPolicy("AdminPolicy");
        
        Field<StringGraphType>("name")
            .AuthorizeWithPolicy("SomePolicy");
    }
}

权限验证

AuthorizationValidationRule 将运行并基于注册的策略验证权限。

app.UseGraphQL<ISchema>();
app.UseGraphQLAuthorization(new AuthorizationValidationRule());

3. 应用案例和最佳实践

授权策略

定义自定义的授权策略，以满足特定业务需求。

public class MyCustomRequirement : IAuthorizationRequirement
{
    // 实现授权需求逻辑
}

授权属性

在 schema-first 的语法中，使用 AuthorizeAttribute 属性为类型、方法或属性添加授权策略。

[Authorize("MyPolicy")]
public class MutationType
{
    [Authorize("AnotherPolicy")]
    public async Task<string> CreateSomething(MyInput input)
    {
        // 实现方法逻辑
    }
    
    [Authorize("SuperPolicy")]
    public string SomeProperty => Guid.NewGuid().ToString();
}

安全实践

确保所有的 GraphQL 类型和字段都有合适的授权策略，防止未授权访问。

4. 典型生态项目

在 GraphQL.NET 生态中，graphql-dotnet-authorization 可以与 graphql-dotnet-server 结合使用，以构建完整的 ASP.NET Core 集成的 GraphQL 服务。通过这种方式，开发者可以利用 ASP.NET Core 的认证和授权框架，实现更细粒度的安全控制。

以上是 graphql-dotnet-authorization 的最佳实践指南，通过遵循这些步骤，开发者可以构建安全且高效的 GraphQL 服务。