所以我有一个应用程序通过Auth0登录我并在cookie中保存一个jwt令牌。
我还有一个Apollo Server 2来检索数据。如果用户已登录并通过Auth0服务器验证,如何保护Apollo Server并仅返回数据?
下面的代码来自https://www.apollographql.com,但我不明白的是如何处理下面的getUser(token)实际检查Authorization标头中的有效JWT,如果存在,将允许用户访问受保护的资源?
// using apollo-server 2.x
const { ApolloServer } = require('apollo-server');
const server = new ApolloServer({
typeDefs,
resolvers,
context: ({ req }) => {
// get the user token from the headers
const token = req.headers.authorization || '';
// try to retrieve a user with the token
const user = getUser(token);
// add the user to the context
return { user };
},
});
server.listen().then(({ url }) => {
console.log(`🚀 Server ready at ${url}`)
});
getUser是使用给定标记返回用户的方法。您可能需要自己编写该方法或使用OAuth的getUser方法。
获取用户对象后,您将返回它,因此您现在可以访问解析器中的用户对象。在解析器方法中,第三个参数是您的上下文对象。你可以在那里访问用户对象。如果要保护该解析程序仅被登录用户允许,则可以在用户为null或未定义时抛出错误。
例如:
export const resolvers = {
Query: {
Me: (parent, args, { user }) => {
if (!user) return Error(`Not Logged In!`)
return user
}
}
}