配置
Neo4j GraphQL 库使用 JSON Web 令牌 (JWT) 进行身份验证。JWT 是包含关于发出请求的用户或客户端的声明或语句的令牌。这些声明可以包含诸如用户 ID 或角色等信息。
可以从身份验证服务获取 JWT,然后将其包含在 API 请求中。API 验证 JWT,如果 JWT 有效,则返回请求的数据。
实例化
Neo4j GraphQL 库可以接受两种类型的 JWT
-
请求上下文中的
token字段中的编码 JWT。 -
请求上下文中的
jwt字段中的解码 JWT。
编码 JWT
为了使用编码 JWT,请使用密钥配置库以解码和验证令牌。以下代码块使用 Apollo Server。它从请求中提取 Authorization 标头并将其放入相应的上下文字段
const server = new ApolloServer({
schema, // schema from Neo4jGraphQL.getSchema()
});
const { url } = await startStandaloneServer(server, {
listen: { port: 4000 },
context: async ({ req }) => ({
token: req.headers.authorization,
}),
});或者,如果需要自定义解码机制,则可以解码相同的标头并将生成的 JWT 负载放入上下文的 jwt 字段中。
或者,您可以通过 JWKS 端点 解码令牌。
对称密钥
要使用对称密钥(例如“secret”)配置库,需要以下实例化
new Neo4jGraphQL({
typeDefs,
features: {
authorization: {
key: "secret",
},
},
});JWKS 端点
要将库配置为针对 JSON Web 密钥集 (JWKS) 端点(例如“https://www.example.com/.well-known/jwks.json”)验证令牌,需要以下实例化
new Neo4jGraphQL({
typeDefs,
features: {
authorization: {
key: {
url: "https://www.myapplication.com/.well-known/jwks.json"
},
},
},
});传入编码 JWT
要传入编码 JWT,请使用上下文的 token 字段。在使用 Apollo Server 时,将授权标头提取到上下文的 token 属性中
const server = new ApolloServer({
schema,
});
await startStandaloneServer(server, {
context: async ({ req }) => ({ token: req.headers.authorization }),
});例如,具有以下 authorization 标头的 HTTP 请求应如下所示
POST / HTTP/1.1
authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJyb2xlcyI6WyJ1c2VyX2FkbWluIiwicG9zdF9hZG1pbiIsImdyb3VwX2FkbWluIl19.IY0LWqgHcjEtOsOw60mqKazhuRFKroSXFQkpCtWpgQI
content-type: application/json或者,您可以将类型为 JwtPayload 的密钥 jwt 传递到上下文中,该密钥具有以下定义
// standard claims https://datatracker.ietf.org/doc/html/rfc7519#section-4.1
interface JwtPayload {
[key: string]: any;
iss?: string | undefined;
sub?: string | undefined;
aud?: string | string[] | undefined;
exp?: number | undefined;
nbf?: number | undefined;
iat?: number | undefined;
jti?: string | undefined;
}|
不要传入标头或签名。 |
解码 JWT
解码 JWT 以类似于编码 JWT 的方式传递到上下文中。但是,它使用 jwt 字段而不是 token。
const jwt = customImplementation();
const { url } = await startStandaloneServer(server, {
listen: { port: 4000 },
context: async ({ req }) => ({
jwt: jwt,
}),
});customImplementation 是一个占位符函数,用于提供解码的 JWT。在 context 中使用 jwt 而不是 token 会告知 Neo4j GraphQL 库它不需要对其进行解码。
添加 JWT 声明
默认情况下,可以在 JWT 规范中的 注册的声明名称 上使用过滤。
可以使用 @jwt 指令和某些情况下 @jwtClaim 指令为其他 JWT 声明配置过滤。
@jwt 指令
如果配置了其他 roles 声明(它是位于 JWT 负载根目录处的字符串数组),请将以下内容添加到类型定义中
type JWT @jwt {
roles: [String!]!
}|
类型名称 |
@jwtClaim 指令
roles 声明不一定位于 JWT 负载根目录。它可以位于嵌套位置,例如在 myApplication 下
{
"sub": "user1234",
"myApplication": {
"roles": ["user", "admin"]
}
}在这种情况下,请将 @jwtClaim 指令与 @jwt 指令一起使用
type JWT @jwt {
roles: [String!]! @jwtClaim(path: "myApplication.roles")
}此外,嵌套位置可能在路径中包含 . 字符,例如
{
"sub": "user1234",
"http://www.myapplication.com": {
"roles": ["user", "admin"]
}
}这些字符必须转义
type JWT @jwt {
roles: [String!]! @jwtClaim(path: "http://www\\\\.myapplication\\\\.com.roles")
}|
|