amazon-dynamodb - 如何在 appsync 中检查创建实体的权限
问题描述
抱歉标题不明确。但是,我很难描述它。
我正在使用aws-appsync
withaws cognito
进行身份验证。
我已经按照有关@auth
注释的放大文档来处理突变和查询的权限。
这是我的架构示例。用户可以创建条目并与他人共享。但是,他们应该只阅读条目,并且不应该有编辑它的权限。
一个条目也有多个注释。(还有一些领域)
type Entry @model @versioned @auth (rules: [
{ allow: owner },
{ allow: owner, ownerField: "shared", queries: [get, list], mutations: []}
]) @searchable {
id: ID!
date: AWSDate
updated_at: AWSDateTime
text: String
notes: [Note] @connection(name: "EntryNotes")
shared: [String]!
}
这是注释
type Note @model @versioned @auth (rules: [{ allow: owner }]) {
id: ID!
text: String
track: Track!
diary: DiaryEntry @connection(name: "EntryNotes")
}
到目前为止,这工作正常。但问题是Note
连接。因为如果你创建一个笔记,你会像这样创建它:
mutation makeNote {
createNote (input: {
text: "Hello there!"
noteEntryId: "444c80ee-6fd9-4267-b371-c2ed4a3ccda4"
}) {
id
text
}
}
现在的问题是,您可以为您无权访问的条目创建注释。如果您以某种方式找出他们拥有的ID。
有没有办法在创建笔记之前检查您是否有权访问该条目?
解决方案
目前,最好的方法是通过 Amplify CLI 中的自定义解析器。具体来说,您可以使用 AppSync 管道解析器在创建注释之前执行授权检查。您的管道解析器将包含两个功能。第一个将查找条目并将所有者与 $ctx.identity 进行比较。第二个函数将处理将记录写入 DynamoDB。您可以使用相同的逻辑build/resolvers/Mutation.createNote.re(q|s).vtl
来实现第二个功能,方法是将其复制到顶级resolvers/
目录,然后从您的自定义资源中引用它。@model
复制逻辑后,您将希望通过更改为来禁用默认的 createNote 突变@model(mutations: { update: "updateNote", delete: "deleteNote" })
。
有关如何设置自定义解析器的更多信息,请参阅https://aws-amplify.github.io/docs/cli/graphql#add-a-custom-resolver-that-targets-a-dynamodb-table-from-model。有关管道解析器的更多信息(与放大文档中的示例略有不同),请参阅https://docs.aws.amazon.com/appsync/latest/devguide/pipeline-resolvers.html。另请参阅 AppSync 的 CloudFormation 参考文档https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-reference-appsync.html。
展望未来,我们正在设计一种允许您定义跨 @connections 的身份验证规则的设计。完成后,它将自动配置此模式,但尚未确定发布日期。
推荐阅读
- javascript - 如何解析和翻译包含相同部分的单词的字符串
- javascript - React Native 发布构建崩溃问题,但在调试时它工作正常
- oracle - Spark SQL 在 Oracle 上将整数写为 NaN
- python - 在 Django Rest Framework 中使用外部 api rest 模拟测试
- javascript - 将通过按钮传递的 id 绑定到 Jquery 中的数据
- react-native - react native如何设置环境变量
- youtube-data-api - Youtube 数据 V3 导致 403
- react-native - setState 不更新状态变量 - React Native 钩子
- javascript - 为什么 Promise 泛型类型只声明成功解析类型?
- c# - 在我的 Unity C# 游戏中,应该抛出一个游戏对象,但它完全没有任何作用 - 有什么问题?