概要
しばらくの間接触したプリズマ、フレームは、いくつかの他のgraphqlインターフェイスで使用され、自動的に全体の間に生成され、そしてデータベースとの間の結合は、低プリズマ又はリッチ発生インタフェース、より便利に使用することです。
プリズマドキュメント:https://www.prisma.io/docs(この書き込みはバージョン1.34です)
なぜリバースプロキシプリズマ行います
プリズマサービス、インターフェイスが自動的に生成されますが、実際のプロジェクトでは、認証とアクセス制御のインターフェースの最も基本的なので、実際には、これらのインタフェースは、直接フロントにさらさ使用することは推奨されるものではない。でも、他のニーズがありますが、だけで自動的に生成することはできませんインターフェイスは、すべての機能を完了することができるようになります。
したがって、一般的なゲートウェイに、権限を認証を行い、通常(ゲートウェイと呼ばれることもある)層を再パッケージ、プリズマサービスを使用して、というように、唯一の正当な要求は最終プリズマサービスに。プリズマサービス自体を転送することができ準備ゲートウェイを容易にするために、輸出クライアントSDKは、現在4つのフォーマット(ジャバスクリプト、typescriptです、golang、フロー)をサポートし、JavaScriptとtypescriptですが、クライアントSDKの機能比較、golang機能弱くなる、試したことのない流れ。
使用golangクライアントSDKゲートウェイが再び適切な行動に直接作られたフロントgraphqlインターセプト要求、graphqlサーバ関連ライブラリーのgolangはとても完璧なのjs / TSを持っていません。だから、リバースプロキシモードを使用することを望んでいた見つけたときに私が書いた後リクエストのプリズマの内容がサービスに転送される。このように、プリズマを使用していないgolang、Javaの、C#の、および他の言語に加えて、ゲートウェイプリズマとして使用することができ、言語の制限を突破、クライアントSDKを生成
リバースプロキシ例(golangによって)
golang使用ジンのWebサービスゲートウェイフレームワークの一部として。認定をGIN-JWTミドルウェア・リバースプロキシと既製のフレームを使用していない権限]セクション。
全サンプルゲートウェイは:
- プリズマサービス(プリズマ+ MySQLは):このセクションでは、コンフィギュレーションテーブルとフィールドの例限り、レディドッカー画像を有します
- ゲートウェイ(golangジン):golangジン火災的服务
プリズマサービス
prisma.yml
endpoint: http://${env:PRISMA_HOST}:${env:PRISMA_PORT}/illuminant/${env:PRISMA_STAGE} datamodel: datamodel.prisma secret: ${env:PRISMA_MANAGEMENT_API_SECRET} generate: - generator: go-client output: ./
.env
PRISMA_HOST=localhost PRISMA_PORT=4466 PRISMA_STAGE=dev PRISMA_MANAGEMENT_API_SECRET=secret-key
datamodel.prisma
type User { id: ID! @id name: String! @unique realName: String! password: String! createdAt: DateTime! @createdAt updatedAt: DateTime! @updatedAt }
ドッキングウィンドウ-compose.yml
version: '3' services: illuminant: image: prismagraphql/prisma:1.34 # restart: always ports: - "4466:4466" environment: PRISMA_CONFIG: | port: 4466 managementApiSecret: secret-key databases: default: connector: mysql host: mysql-db user: root password: prisma # rawAccess: true port: 3306 migrations: true mysql-db: image: mysql:5.7 # restart: always environment: MYSQL_ROOT_PASSWORD: prisma volumes: - mysql:/var/lib/mysql volumes: mysql: ~
ファイル上記と同じディレクトリ内のすべてのプリズマサービスと、彼らはMySQLを必要とするサービスのファイルを含めることができます
ゲートウェイサービス
ゲートウェイサービスは、キーだけでなく、部品の将来の拡張である。書き込むためのフレームワークを使用してgolangジン。
全体的なプロセス
- HTTPリクエスト
- ルートルート
- 認定チェック
- 権限のチェック
- プリズマ要求転送サービス(アップロード/ダウンロード、または需要の統計情報などを持っている場合は、このステップは通常、プリズマへのAPIを記述する必要が転送されます)
- リターンレスポンス
認証します
authMiddleware := controller.JwtMiddleware()
apiV1 := r.Group("/api/v1")
// no auth routes
apiV1.POST("/login", authMiddleware.LoginHandler)
// auth routes
authRoute := apiV1.Group("/")
authRoute.GET("/refresh_token", authMiddleware.RefreshHandler)
authRoute.Use(authMiddleware.MiddlewareFunc())
{
// proxy prisma graphql
authRoute.POST("/graphql", ReverseProxy())
}
/ API / V1 / graphql JWTの認証を満たしながら、アクセスすることができます。
リバースプロキシ
func ReverseProxy() gin.HandlerFunc {
return func(c *gin.Context) {
director := func(req *http.Request) {
req.URL.Scheme = "http"
req.URL.Host = primsa-host
req.URL.Path = primsa-endpoint
delete(req.Header, "Authorization")
req.Header["Authorization"] = []string{"Bearer " + primsa-token}
}
// 解析出 body 中的内容, 进行权限检查
body, err := c.GetRawData()
if err != nil {
fmt.Println(err)
}
// 对 body 进行权限 check
// 权限 Check, 解析出 graphql 中请求的函数, 然后判断是否有权限
// 目前的方式是根据请求中函数的名称来判断权限, 也就是只能对表的 CURD 权限进行判断, 对于表中的字段权限还无法检查
// 如果权限检查没有通过, 直接返回, 不要再进行下面的请求转发
// 将 body 反序列化回请求中, 转发给 prisma 服务
c.Request.Body = ioutil.NopCloser(bytes.NewBuffer(body))
proxy := &httputil.ReverseProxy{Director: director}
proxy.ModifyResponse = controller.RewriteBody
proxy.ServeHTTP(c.Writer, c.Request)
}
}
技量
// 检查权限
func CheckAuthority(body []byte, userId string) bool {
var bodyJson struct {
Query string `json:"query"`
}
log := logger.GetLogger()
if err := json.Unmarshal(body, &bodyJson); err != nil {
log.Error("body convert to json error: %s", err.Error())
return false
}
graphqlFunc := RegrexGraphqlFunc(bodyJson.Query)
if graphqlFunc == "" {
return false
}
// 这里的 userId 是从 jwt 中解析出来的, 然后再判断用户是否有权限
if graphqlFunc == "users" {
return false
}
return true
}
// 匹配 graphql 请求的函数
func RegrexGraphqlFunc(graphqlReq string) string {
graphqlReq = strings.TrimSpace(graphqlReq)
// reg examples:
// { users {id} }
// { users(where: {}) {id} }
// mutation{ user(data: {}) {id} }
var regStrs = []string{
`^\{\s*(\w+)\s*\{.*\}\s*\}$`,
`^\{\s*(\w+)\s*\(.*\)\s*\{.*\}\s*\}$`,
`^mutation\s*\{\s*(\w+)\s*\(.*\)\s*\{.*\}\s*\}$`,
}
for _, regStr := range regStrs {
r := regexp.MustCompile(regStr)
matches := r.FindStringSubmatch(graphqlReq)
if matches != nil && len(matches) > 1 {
return matches[1]
}
}
return ""
}
ここでの権限チェックのアイデアが。最終的なコードではなく、達成された
だけの一時的な解決策ではなく、最良の方法は機能要求にマッチする正規表現を特徴とする請求方法、
最善の方法は、ライブラリgolangを解析し、対応するgraphqlする必要があります構造は、要求を解析され、その許諾を持っているときに解析された機能を決定します
概要
後の場合はクライアントSDK、またはゲートウェイベースのクライアントSDKを向上した後、プリズマクライアントSDKの制限を打破するためには、リバースプロキシモードを使用することで、より信頼性の高い開発します。