Access Control
มอบสิทธิ์การเข้าถึง schema อย่างละเอียด (ตามสถานะการเข้าสู่ระบบของผู้ใช้ บทบาทหรือสิทธิ์ที่มี หรือตาม IP) เพื่อจัดการว่าใครสามารถเข้าถึงข้อมูลอะไรได้บ้าง
Click to watch tutorial video - 08:04
กำหนด Access Control Lists เพื่อจัดการการเข้าถึง API อย่างละเอียดสำหรับผู้ใช้ของคุณ
Access Control Lists
ส่วนขยายนี้ช่วยให้เราสามารถสร้าง Access Control Lists เพื่อจัดการว่าใครสามารถเข้าถึงองค์ประกอบต่าง ๆ (operations, fields และ directives) จาก GraphQL schema ได้บ้าง โดยใช้กฎต่อไปนี้:
- ปิดการเข้าถึง
- อนุญาตการเข้าถึงเฉพาะเมื่อผู้ใช้เข้าสู่ระบบหรือออกจากระบบแล้ว
- อนุญาตการเข้าถึงเฉพาะเมื่อผู้ใช้มีบทบาทบางอย่าง
- อนุญาตการเข้าถึงเฉพาะเมื่อผู้ใช้มีสิทธิ์บางอย่าง
- อนุญาตการเข้าถึงเฉพาะเมื่อผู้เยี่ยมชมมาจาก IP ที่ได้รับอนุญาต
เราระบุว่าต้องปฏิบัติตามกฎใดในการเข้าถึงองค์ประกอบ schema ใด จากบรรดา operations, fields, global fields และ directives
เมื่อดำเนินการ GraphQL query หากมีองค์ประกอบ schema ที่เลือกไว้ใน Access Control List อยู่ กฎที่เลือกไว้จะถูกประเมิน
หากกฎใดไม่ได้รับการปฏิบัติตาม การเข้าถึง operation, field หรือ directive นั้นจะถูกปฏิเสธ
โหมด Public/Private Schema
เมื่อการเข้าถึง field หรือ directive ถูกปฏิเสธผ่าน Access Control จะมี 2 วิธีที่ API จะทำงาน:
โหมด Public: fields ใน schema จะถูกเปิดเผย และเมื่อไม่ปฏิบัติตามสิทธิ์ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาดพร้อมคำอธิบายว่าเหตุใดสิทธิ์จึงถูกปฏิเสธ พฤติกรรมนี้ทำให้ metadata จาก schema พร้อมใช้งานอยู่เสมอ
โหมด Private: schema จะถูกปรับแต่งสำหรับผู้ใช้แต่ละคน โดยมีเฉพาะ fields ที่ผู้ใช้นั้นสามารถเข้าถึงได้ ดังนั้นเมื่อพยายามเข้าถึง field ที่ถูกห้าม ข้อความแสดงข้อผิดพลาดจะบอกว่า field นั้นไม่มีอยู่ พฤติกรรมนี้เปิดเผย metadata จาก schema เฉพาะกับผู้ใช้ที่สามารถเข้าถึงได้เท่านั้น
ตัวอย่างเช่น ใน โหมด public เราอาจได้รับ response นี้:
{
"errors": [
{
"message": "You must have role 'author' to access field 'title' for type 'Post'",
"locations": [
{
"line": 86,
"column": 3
}
]
}
]
}ในขณะที่ใน โหมด private เราอาจได้รับ response นี้:
{
"errors": [
{
"message": "There is no field 'title' on type 'Post'",
"locations": [
{
"line": 86,
"column": 3
}
]
}
]
}
