javascript - 类型-GraphQL : Allow document owner and admin/moderator access with the @Authorized() decorator-6ren

javascript - 类型-GraphQL : Allow document owner and admin/moderator access with the @Authorized() decorator

转载作者：行者123 更新时间：2023-12-02 20:57:45

26

4

详细信息

我正在使用 type-graphql 并尝试使用 @Authorized() 装饰器和自定义身份验证检查器作为保护来限制特定用户组的数据访问或操作。一切正常，并且根据装饰器适本地阻止/允许访问。

问题

我希望文档的所有者/作者能够编辑/删除它，即使其标记有 @Authorized(["MODERATOR", "ADMIN"]) (可选)我可以标记它类似 @Authorized(["OWNER", "MODERATOR", "ADMIN"]) 的内容(如果这样更容易实现)。

据我所知，我没有任何关于用户试图在身份验证检查器中访问什么模型/文档的信息，只有突变的参数。换句话说，我有他们想要访问的内容的 ID，但没有它所属的模型。

问题

有什么方法可以检查用户是否在身份验证检查器中拥有该文档，或者我是否必须将其标记为 @Authorized() 并检查用户是否拥有该文档或者是每个突变/查询中的管理员/主持人？

代码

索引.d.ts

declare module "type-graphql" {
    function Authorized(): MethodAndPropDecorator;
    function Authorized(roles: AccessLevels[]): MethodAndPropDecorator;
    function Authorized(...roles: AccessLevels[]): MethodAndPropDecorator;
}

类型.ts

type AccessLevels = "MODERATOR" | "ADMIN";

authChecker.ts

const authChecker: AuthChecker<{ user: User | null }, AccessLevels> = ({ context }, roles): boolean => {
    if (!context.user) {
        return false;
    }

    if (roles.length === 0) {
        return true;
    }

    if (context.user.accessLevel > 0 && roles.includes("MODERATOR")) {
        return true;
    }

    return context.user.accessLevel > 1 && roles.includes("ADMIN");
};

EstablishmentResolver.ts

@Authorized(["MODERATOR", "ADMIN"])
@Mutation(() => EstablishmentType, { description: "Deletes a establishment by ID" })
async deleteEstablishment(@Args() { id }: EstablishmentIdArg): Promise<Establishment> {
    const establishment = await Establishment.findOne({ where: { id } });

    if (!establishment) {
        throw new Error("Establishment does not exist");
    }

    await establishment.destroy();

    return establishment;
}

最佳答案

尝试修改签名和逻辑以允许将回调传递到装饰器中，这将解决“所有者”条件:

@ObjectType
class User {
  @Authorized({ 
    roles: ["MODERATOR", "ADMIN"],
    owner: ({ root, context }) => {
      return root.id === context.user.id;
    },
  })
  @Field()
  email: string;
}

请注意，您不能总是在 authChecker 或中间件内执行此操作，因为它们在解析器代码之前运行，因此在 deleteEstablishment 的情况下，没有通用的方法来匹配 estinationId 和 user.id 来检测它是否是所有者。

关于javascript - 类型-GraphQL : Allow document owner and admin/moderator access with the @Authorized() decorator，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/61430640/

26

4

0

文章推荐： intellij-idea - 如何在 IntelliJ 中设置 sbt bin 路径？

文章推荐： css - 在 CSS 表格单元格元素中显示省略号

文章推荐： sql - 如何在Oracle的where子句中使用IF THEN ELSE语句？

文章推荐： duplicates - 基本哈希表算法 - 删除重复项

ms-access - 使用安全工作组文件编写 Access Access 文件的脚本
我正在尝试编写 Access Access 数据库的脚本，以便在命令行上使用。 Access 数据库使用工作组文件进行保护。 Dim oApp, sWGF,myWS Set sApp = Create
ms-access - 如何 Access Access 中选定的行？
我有一个包含数据表的表格。我希望用户能够选择多行，单击按钮并运行一些 sql 查询并对这些行执行一些工作。查看我的 VBA 代码，我发现如何使用 CurrentRecord 属性 Access 最后
ms-access - 网络 Access 的 Access 数据库的最大连接数
如果我在某个网络位置有 Microsoft Access 2007 数据库，那么可以使用该数据库的客户端计算机的数量是否有限制？客户端不会安装 Access，而是使用 Access Runtime 2
ms-access - Access 时出现 MS ACCESS 错误
我正在开发一个注册系统。但我收到此错误:You tried to execute a query that does not include the specified expression.. 我正
ms-access - MS Access (JET) 是否适合多用户 Access ？
我有一个产品设计为使用 MS Access 文件作为数据库的桌面产品。现在，一些用户需要将它安装在几台 PC(比如说 2 或 3 台)上并共享数据库。我想将 MS Access 文件放在共享文件夹
ms-access - 如何解密或 Access protected Access 数据库？
我接手了一个旧的软件项目，该项目使用 MS Access 数据库来存储数据。但是数据库不会在 Access 中打开，如下所示: "You do not have the necessary permi
ms-access - 以编程方式将包含 Access 97 文件的文件夹更新为 Access 2003
我有一个文件夹，里面装满了 100 多个 Access97 文件。我需要将它们全部更新到 Access2003。我可以手动完成，但使用 VBA 可能会快很多。有没有人会有一个片段可以做到这一点？或
ms-access - 使用链接表 Access 连续表单 - 如何避免为表单中的每一行 Access 数据库服务器？
我正在通过 SQL Server 迁移助手 (SSMA) 将数据从 Access 数据库迁移到 SQL Server。 Access 应用程序将继续与转换为链接表的本地表一起使用。一个连续的表单在加
ms-access - 使用链接表 Access 连续表单 - 如何避免为表单中的每一行 Access 数据库服务器？
我正在通过 SQL Server 迁移助手 (SSMA) 将数据从 Access 数据库迁移到 SQL Server。 Access 应用程序将继续与转换为链接表的本地表一起使用。一个连续的表单在加
ms-access - 通过链接到 Access 数据库的 ODBC 数据源进行缓慢的数据 Access
我的公司用 Visual Basic 6 开发了一个应用程序。该应用程序通过 ODBC 数据源使用 Access 数据库。 Access 数据库是一个扩展名为“.mdb”的文件。在以下环境中运行应
ms-access - 使用 SetParent 使 Access 表单从 Access 中转义
我一直在尝试让 Microsoft Access 从主 Access 窗口中“退出”，以便我可以隐藏 Access 窗口并仅在桌面上显示表单，以便可以轻松地将其放置在其他应用程序旁边。起初我发现了一
ms-access - 从 Access 2000/2003 迁移到 Access 2010
我想在 access 2010 中使用 access 2000 和 2003 数据库。由于我不想检查一切是否手动工作，我正在寻找一种工具来分析 VBA 代码以查找使用 access 2010 发生的错
ms-access - 从 Access 打开 Excel 文件并将图片复制到 Access 表单
所以我有一个 Excel 工作簿，其中有一个很好的 shaperange 对象的全局 map 。通过一些非常简单的代码，我可以更改颜色、将国家/地区集合分组和取消分组为数组等......并且效果非常好
ms-access - Access 将支持 35-40 个用户写入 Access 数据库
我们希望有大约 35-40 人通过共享驱动器上的脚本写入 Access 数据库。这些指标分解为他们需要每小时写大约 3-7 次。 Access 会支持这一点而不会对我产生影响吗？是的，我很乐意将其用
ms-access - MS Access 使用 VBA 从 Access 文件中删除模块
我正在寻找一种使用 VBA 代码从外部数据库文件中删除 VBA 模块的方法。名为“myfile.accdb”的外部文件有一个名为“mod1”的模块，我希望能够在单独的项目中使用 VBA 代码删除该模块
ms-access - 尝试从子窗体 Access 孙窗体时出现 Microsoft Access 运行时错误 2455
我在 Access 2003 数据库(在 Access 2007 中开发)中有三个表单，它们处于父级 -> 子级 -> 孙子级关系中。在子窗体的 'Form_Load' 子窗体中，我设置了孙子窗体的一
ms-access - MS Access 2007 弹出式表单拒绝在设计模式下显示/无法 Access (但出现在表单列表中)
MS Access 2007 存在拒绝在设计模式下显示表单的问题。我可以看到表单的代码(如果我查看显示表单的按钮的事件属性)，但我看不到作为 GUI 布局的表单。而且，当我尝试从应用程序的主窗口调用此
ms-access - 在计算机上未安装 MS Access 的情况下使用 Excel 从 Access 中读取
我编写了代码，使用 Excel 中的下拉列表提供的标准将两个表连接起来，然后将数据返回到电子表格上的特定位置(工作表上已经有标题)。这在我的机器上和其他机器上使用 MS Access 的机器上都可以
ms-access - 如何以编程方式将 Access 1997 .mdb 转换为 Access 2007 .accdb
我正在开始构建一个应用程序，该应用程序从给定的根路径开始遍历文件夹结构，并将所有找到的 Access 1997 .mdb 文件转换为较新的 Access 2007/2010 .accdb 格式。但是，
ms-access - 微软 Access : passing parameters from one access form to another
我有一个表单和一个按钮。我想通过单击按钮打开另一个表单，并将参数从父表单传递到子表单(子表单的 RecordSource 有参数)。我该怎么做？最佳答案您可以通过引用表单的对象来引用调用表单的任何

首页

博学

6Ren·AI

商城

javascript - 类型-GraphQL : Allow document owner and admin/moderator access with the @Authorized() decorator