将通过突变更改的对象包含一个permissions数组,该数组包含user个对象,这些对象由一个userId和一个write权限布尔值组成。如果列表中存在用户的userId,则该用户对该对象具有读取权限。如果write设置为true,则用户还具有写权限。
从突变的角度来看,这使修改对象变得更加容易,但是由于我无法访问在创建订阅时更新的对象,因此使订阅的处理变得更加困难。因此,我无法确保用户只有在具有适当权限的情况下才能获取对象的更新。
我认为这没有什么不同(因为我不能在客户端安全地处理此问题),但是我正在构建一个React Web客户端。
有没有可行的解决方法?
答案 0 :(得分:2)
一个可能的解决方案是设置一个服务器端作业,该作业订阅所有新的变异。该服务器端侦听器将接收每个新的突变,查看权限列表,然后使用None数据源解析器发布给授权用户。仅允许用户使用其用户ID订阅订阅。
架构看起来像这样:
type Object {
permissions: [User]
//.. Other fields
}
type User {
userId: ID!
write: Boolean
}
// The server listener will populate this
type PublishPayload {
userId: ID!
objectToPublish: Object
}
type Mutation {
// The original mutation
updateObject(): Object
// The server-side listener will use this to publish. Attach a None Resolver to it.
publishToUser(userId: ID!): PublishPayload
}
type Subscription {
// This subscription is used by the server to listen to all updateObject mutations
serverSubscription(): Object
@aws_subscribe(mutations:["updateObject"])
// This subscription is used by the users.
// You would add a resolver to it that fails authorization if they try to subscribe to a different user.
userSubscription(userId: ID!): PublishPayload
@aws_subscribe(mutations:["publishToUser"])
//.. More schema
希望这会有所帮助!