“我喜歡編寫身份驗證和授權(quán)代碼?！??從來沒有Java開發(fā)人員。 厭倦了一次又一次地建立相同的登錄屏幕？ 嘗試使用Okta API進行托管身份驗證，授權(quán)和多因素身份驗證。

GraphQL是Facebook在2012年開發(fā)的一種數(shù)據(jù)查詢語言，用于解決REST API和傳統(tǒng)數(shù)據(jù)庫模型的缺點。 通常，當程序員編寫REST API數(shù)據(jù)查詢時，他們默認只在需要一部分數(shù)據(jù)時才檢索整個數(shù)據(jù)結(jié)構(gòu)。 例如，如果您要查找博客文章中的評論數(shù)，開發(fā)人員通常可能會檢索整個文章和所有關(guān)聯(lián)的字段以及所有評論及其所有關(guān)聯(lián)字段， 只是為了計算結(jié)果中的評論數(shù)數(shù)組。

這是非常低效的。 但是，現(xiàn)代計算機速度很快。 只要您有成百上千的用戶，這些天甚至是共享服務器都非?？臁?但是，當您達到Facebook規(guī)模，在互聯(lián)網(wǎng)上接觸到相當多的人時，這種情況就會崩潰。 這種低效率變得不可行或昂貴。

當然，可以編寫更好的SQL查詢（或NoSQL查詢）并編寫特定的API前端調(diào)用來計算效率更高的博客文章數(shù)量-但是您必須為每個特定的數(shù)據(jù)查詢執(zhí)行此操作案件。

還存在需要更多數(shù)據(jù)的問題。 如果您想要一組用戶博客文章及其相關(guān)評論，并且還想要另一組不相關(guān)的數(shù)據(jù)怎么辦？ 通常，您分別對REST API進行兩次調(diào)用。 實際上，在檢索所有必需的數(shù)據(jù)時，REST API交互可能會在特定的API交互過程中導致數(shù)十個調(diào)用。 同樣，在現(xiàn)代寬帶上并且用戶相對較少，這是有效的。 隨著成千上萬甚至數(shù)十億的用戶，它崩潰了。 毫秒效率至關(guān)重要。 減少網(wǎng)絡呼叫的數(shù)量很重要。

必須有一種更好的方法，一種更通用的方法，以允許前端僅請求其所需的數(shù)據(jù)，并通過組合對數(shù)據(jù)的請求來減少網(wǎng)絡交互的次數(shù)。

這就是Facebook開發(fā)GraphQL的原因。 它提供了一個框架來描述您的數(shù)據(jù)模型，并允許數(shù)據(jù)的使用者確切地要求他們想要什么并檢索可預測的結(jié)果。

什么時候使用GraphQL？

GraphQL具有強大的功能和靈活性，并且在Internet規(guī)模上使用時，可以顯著提高傳統(tǒng)REST API的性能。 那你為什么不使用它呢？ 好吧，以我的經(jīng)驗，在較小的項目中，我覺得我經(jīng)常只是將很多REST邏輯轉(zhuǎn)移到GraphQL模式定義中，在那里驗證和授權(quán)代碼最終嵌套在一個相當丑陋的巨大模式中。 我還覺得我在重復數(shù)據(jù)類型定義：一次是在GraphQL中，另一次是在ORM中（這可能不是所有實現(xiàn)的問題）。

GraphQL還帶來了一系列獨特的安全問題–它沒有錯。 它與使用REST API或SQL查詢將有所不同，因此您需要花一些時間來研究安全性。 我會考慮在應用程序Swift擴展或數(shù)據(jù)集可能隨時間顯著發(fā)展的情況下使用它。 如果我在一個較小的項目中只有一組定義良好的數(shù)據(jù)，那么我可能只會堅持使用REST API。

如何使用GraphQL？

從開發(fā)人員的角度來看，有兩個主要組件：

• 類型說明
• 查詢語言

類型描述最終看起來很像ORM（如果您熟悉的話）。 您定義類型和這些類型上的字段。 稍后，您還將定義函數(shù)以從數(shù)據(jù)庫中檢索該信息。

例如，讓我們看一個非常簡單的博客文章定義。

type Post { id: ID! text: String! }

很基本。 post具有id和text字段。 讓我們在Post類型定義中添加一些注釋。

type Post { id: ID! text: String! comments: [Comment!]! } type Comment { id: ID! text: String! }

現(xiàn)在，Post類型包含一個Comments類型的數(shù)組。 我們?nèi)绾螌⑵滢D(zhuǎn)換為可用的GraphQL模式定義？

我們需要做兩件事：

定義“查詢”類型-所有GraphQL查詢進入我們數(shù)據(jù)的入口點

為每種類型的每個字段編寫方法，這些方法從數(shù)據(jù)類型返回所請求的字段

定義GraphQL模式查詢

在簡單的示例應用程序，我們正在建立，我們希望能夠查詢的帖子，所以讓我們來添加一個查詢類型與post Post類型的字段。 我們的GraphQL模式現(xiàn)在看起來像這樣：

type Query { post(id: ID!): Post }type Post { id: ID! text: String! comments: [Comment!]! } type Comment { id: ID! text: String! }

重申一下，Post和Comment類型直接描述了我們的數(shù)據(jù)結(jié)構(gòu)，而Query類型則是GraphQL-ism，這是一種特殊類型，用于定義模式的只讀入口點。 還有一種Mutation類型，可在架構(gòu)中提供可變的訪問點。

要注意的另一件事是字段可以有參數(shù)。 如果查看Query類型上的post字段，您會注意到它具有ID類型的參數(shù)。 可以在查詢中指定此參數(shù)，并將該參數(shù)傳遞給調(diào)用該函數(shù)以檢索數(shù)據(jù)。

順便說一句，感嘆號僅表示該類型不可為空。

GraphQL中的類型

GraphQL基本上是關(guān)于在類型上定義字段并查詢這些字段。 它是強類型的，并且具有5種內(nèi)置標量類型：

• Int：32位整數(shù)
• 浮點數(shù)：帶符號的雙精度浮點值
• 字符串：UTF-8字符序列
• 布爾值：對或錯
• ID：唯一標識符，序列化為字符串

還可以定義自定義標量類型，例如Date類型，并且必須提供用于序列化，反序列化和驗證的方法。

也可以指定枚舉和列表/數(shù)組。 我們在上面的Post類型中創(chuàng)建了Comments列表。

GraphQL官方文檔提供了有關(guān)類型和架構(gòu)的更多信息。

在Java中使用GraphQL

在本教程中，我們將使用一個名為graphql-tools的項目將GraphQL與Spring Boot集成在一起。 根據(jù)項目github頁面自述文件， graphql-tools “允許您使用GraphQL模式語言來構(gòu)建您的graphql-java模式，并允許您BYOO（帶上自己的對象）來填充實現(xiàn)。”

如果您擁有或想要擁有定義數(shù)據(jù)模型的普通舊Java對象（PO??JO），則此方法非常有用。 我做的。

我們的POJO會是什么樣？

class Post { protected int id; protected String text; Post(int id) { this.id = id; this.text = ""; this.comments = new ArrayList(); } Post(int id, String text, ArrayList comments) { this.id = id; this.text = text; this.comments = comments; } protected ArrayList comments; }class Comment { private int id; private String text; Comment(int id, String text) { this.id = id; this.text = text; } }

這些類將定義我們的數(shù)據(jù)模型的基本類型，并將與GraphQL模式中的類型相對應。 它們將在單獨的Java類文件中定義。 （明白我對重復數(shù)據(jù)定義的意思嗎？）

我們還需要定義幾個“解析器”。 graphql-tools使用解析器來解析非標量類型。 GraphQL架構(gòu)中包含非標量類型的每種類型都需要具有關(guān)聯(lián)的解析器。 因此，我們的Query類型和Post類型需要解析器，而我們的評論類型則不需要解析器。

這是后解析器的外觀：

class PostResolver implements GraphQLResolver { public List getComments(Post post) { return post.comments; } }

這是查詢解析器的框架：

class Query implements GraphQLQueryResolver { Post getPost(int id) {// Do something to retrieve the post} }

下載Spring Boot示例應用程序

現(xiàn)在，我們進入了令人興奮的部分！ 構(gòu)建一個使用GraphQL的Spring Boot應用程序，并使用Okta保護該應用程序（我們將繼續(xù)講到這，Okta使超級簡單）。

現(xiàn)在是繼續(xù)下載示例應用程序的好時機。 它基于graphql-java github頁面上這個很棒的項目中的example-graphql-tools項目。

git clone https://github.com/oktadeveloper/okta-springboot-graphql-example.git

該項目實際上是兩個子項目：

• OktaShowToken ：用于從Okta OAuth OIDC應用程序檢索工作授權(quán)令牌
• OktaGraphQL ：基于GraphQL的 Spring Boot資源服務器（我們將在最后添加Okta Auth

創(chuàng)建Okta OAuth應用程序并安裝HTTPie

本教程假設您已經(jīng)有一個免費的Okta Developer帳戶（如果沒有，為什么不直接轉(zhuǎn)到developer.okta.com并創(chuàng)建一個）。

為什么選擇Okta？

在Okta，我們的目標是使身份管理比您以往更加輕松，安全和可擴展。 Okta是一項云服務，允許開發(fā)人員創(chuàng)建，編輯和安全地存儲用戶帳戶和用戶帳戶數(shù)據(jù)，并將它們與一個或多個應用程序連接。 我們的API使您能夠：

• 驗證和授權(quán)用戶
• 存儲有關(guān)您的用戶的數(shù)據(jù)
• 執(zhí)行基于密碼的社交登錄
• 通過多因素身份驗證保護您的應用程序
• 以及更多！ 查看我們的產(chǎn)品文檔

在Okta中創(chuàng)建新的OIDC應用

要在Okta上創(chuàng)建新的OIDC應用，您可以從默認設置開始，然后：

登錄到您的開發(fā)人員帳戶，導航到“ 應用程序” ，然后單擊“ 添加應用程序” 。

選擇“ Web” ，然后單擊“ 下一步” 。

為應用程序命名，添加http://localhost:8080/login作為登錄重定向URI，然后單擊完成 。

我們將使用HTTPie，一個出色的HTTP命令行客戶端。 因此，如果尚未安裝該產(chǎn)品，請簽出該產(chǎn)品，然后按照httpie.org上的安裝說明進行操作 。

查看OktaGraphQL示例應用程序

讓我們暫時忽略OktaShowToken項目，看看OktaGraphQL，它最初配置為無需身份驗證即可運行。

您會注意到，除了com.okta.springbootgraphql.resolvers包中的POJO類和解析器以及src/main/resources/graphql-tools.graphqls的GraphQL模式定義之外，它并沒有太多src/main/resources/graphql-tools.graphqls 。

在這一點上，大多數(shù)應該是不言自明的。 我只是指出，我們的Query類（查詢??解析器）是一種快速而骯臟的技巧，以避免必須設置實際的數(shù)據(jù)庫數(shù)據(jù)源。 我們只是根據(jù)ID編號即時生成Post和Comment 。 在實際的實現(xiàn)中，您將在此處添加一些其他業(yè)務層邏輯，例如授權(quán)，并在數(shù)據(jù)源中查找數(shù)據(jù)。

class Query implements GraphQLQueryResolver { Post getPost(int id) { if (id == 1) { ArrayList comments = new ArrayList() {{ add(new Comment(1, "GraphQL is amazing!")); }}; return new Post(id, "Okta + GraphQL is pretty sweet.", comments); } else if (id == 2) { ArrayList comments = new ArrayList() {{ add(new Comment(1, "I can't believe how easy this is.")); }}; return new Post(id, "Is GraphQL better than a REST API?", comments); } else { return null; } } }

運行您的第一個GraphQL查詢

打開一個終端，從OktaGraphQL項目目錄，使用./gradlew bootRun命令啟動Spring Boot應用程序。

開始可能需要幾秒鐘。 您應該看到一些結(jié)束像這樣的輸出：

Tomcat started on port(s): 9000 (http) with context path '' Started GraphQLToolsSampleApplication in 19.245 seconds (JVM running for 19.664)

使該終端窗口保持打開狀態(tài)，然后打開另一個終端窗口。 再次導航到項目根目錄。 使用以下命令運行我們的第一個GraphQL查詢：

http POST http://localhost:9000/graphql/ < json-requests/post1-all-data.json

在這里，我們以內(nèi)容類型application/json發(fā)出POST請求（因為這是HTTPie的默認HTTPie ），并且我們將在json-requests/post1-all-data.json文件中找到的查詢作為請求正文發(fā)送。

來自json-requests/post1-all-data.json的請求主體：

{ "query": "{ post(id: '1') { id, text, comments { id, text} } }" }

預期結(jié)果：

HTTP/1.1 200 Content-Length: 122 Content-Type: application/json;charset=UTF-8 Date: Fri, 03 Aug 2018 21:50:25 GMT{"data": {"post": {"comments": [{"id": "1","text": "GraphQL is amazing!"}],"id": "1","text": "Okta + GraphQL is pretty sweet."}} }

此時，您可以使用JSON請求文件，請求較少的數(shù)據(jù)或請求其他帖子。

我們將繼續(xù)添加身份驗證。

為Okat添加Okta

此時，您需要從Okta OAuth應用程序設置中獲取一些信息：

• 客戶編號
• 客戶機密
• 您的Okta基本網(wǎng)址（類似這樣的內(nèi)容： https://dev-123456.oktapreview.com : https://dev-123456.oktapreview.com ）

可以在應用程序的常規(guī)設置中找到客戶端ID和客戶端密鑰（選擇“ 應用程序”菜單，選擇要使用的應用程序，最后選擇“ 常規(guī)”選項卡）。

在OktaGraphQL項目中，創(chuàng)建gradle.properties文件并填寫以下屬性：

oktaClientId={yourClientId} oktaBaseUrl=https://{yourOktaDomain}

在src/main/resources/application.yml文件中，添加以下屬性：

okta: oauth2: issuer: ${oktaBaseUrl}/oauth2/default clientId: ${oktaClientId} scopes: 'email profile openid'

將以下依賴項添加到OktaGraphQL項目中的build.gradle文件中。 這些是Spring Boot OAuth依賴項和Okta Spring Boot啟動器 。

compile group: 'com.okta.spring', name: 'okta-spring-boot-starter', version: '0.6.0' compile group: 'org.springframework.security.oauth', name: 'spring-security-oauth2', version: '2.3.3.RELEASE' compile ('org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.0.1.RELEASE')

現(xiàn)在，我們向GraphQLToolsSampleApplication類添加兩個注釋（ @EnableResourceServer和@EnableOAuth2Sso ）。 它看起來應該像這樣：

package com.okta.springbootgraphql; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.autoconfigure.security.oauth2.client.EnableOAuth2Sso; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; @SpringBootApplication @EnableResourceServer @EnableOAuth2Sso public class GraphQLToolsSampleApplication { public static void main(String[] args) { SpringApplication.run(GraphQLToolsSampleApplication.class, args); } }

停止您的Spring Boot應用程序（如果它仍在運行），然后使用./gradlew bootRun重新啟動它。

對GraphQL服務器運行查詢，您將看到401錯誤：

HTTP/1.1 401 Cache-Control: no-store Content-Type: application/json;charset=UTF-8 Date: Fri, 03 Aug 2018 22:10:50 GMT Pragma: no-cache Transfer-Encoding: chunked WWW-Authenticate: Bearer realm="api://default", error="unauthorized", error_description="Full authentication is required to access this resource" X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block{"error": "unauthorized","error_description": "Full authentication is required to access this resource" }

獲取訪問令牌

要立即訪問受保護的GraphQL服務器，我們需要Okta訪問令牌。 通常，這可以通過應用程序前端的上下文進行管理。 在本教程中，我們將使用OktaShowToken應用程序從Okta應用程序檢索授權(quán)令牌。

在OktaShowToken項目中，創(chuàng)建gradle.properties文件并填寫以下屬性：

oktaClientId={yourClientId} oktaClientSecret={yourClientSecret} oktaBaseUrl=https://{yourOktaDomain}

打開一個終端，轉(zhuǎn)到OktaShowToken項目根目錄，然后運行./gradlew bootRun 。

應用程序啟動完成后，導航至http://localhost:8080 。

您將完成Okta登錄和身份驗證過程。 您應該看到Okta登錄屏幕。

登錄后，您將看到一個包含訪問令牌的文本頁面。 讓此頁面保持打開狀態(tài)和/或?qū)⒋肆钆茝椭频揭院罂梢允褂玫奈恢谩?

使用訪問令牌訪問GraphQL端點

首先讓我們將令牌值存儲在一個臨時的shell變量中：

TOKEN={accessTokenValue}

然后，讓我們再次設置授權(quán)標頭來運行請求。 您需要從OktaGraphQL目錄運行以下命令。

http POST http://localhost:9000/graphql/ Authorization:"Bearer $TOKEN" < json-requests/post1-all-data.json

您應該看到以下熟悉的結(jié)果：

HTTP/1.1 200 Cache-Control: no-cache, no-store, max-age=0, must-revalidate Content-Length: 122 Content-Type: application/json;charset=UTF-8 Date: Fri, 03 Aug 2018 22:22:00 GMT Expires: 0 Pragma: no-cache X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block{"data": {"post": {"comments": [{"id": "1","text": "GraphQL is amazing!"}],"id": "1","text": "Okta + GraphQL is pretty sweet."}} }

了解有關(guān)Spring Boot，GraphQL和安全API設計的更多信息

就是這樣！ GraphQL顯然是一門很深的主題，如果您來自傳統(tǒng)的REST API背景，則需要對其進行一些深入的研究，以轉(zhuǎn)變范例并正確實現(xiàn)所有內(nèi)容。

GraphQL人員在他們的文檔中反復指出， GraphQL不會替代您的業(yè)務邏輯層 ，而是提供一種位于您的業(yè)務邏輯層和外界之間的數(shù)據(jù)訪問查詢語言和類型架構(gòu)。 看看他們的授權(quán)文檔，以了解一下。

但是正如您所看到的，Okta的Spring Boot Starter使保護GraphQL端點非常簡單。 如果您有興趣了解有關(guān)Spring Boot或GraphQL的更多信息，請查看以下相關(guān)文章：

• 使用React，GraphQL和用戶身份驗證構(gòu)建運行狀況跟蹤應用
• Spring Boot，OAuth 2.0和Okta入門
• 使用Spring Boot和OAuth 2.0進行安全的服務器到服務器通信
• 確保Spring Boot應用程序安全的10種絕佳方法

如果您對此帖子有任何疑問，請在下面添加評論。 有關(guān)更多精彩內(nèi)容， 請在Twitter上關(guān)注@oktadev ， 在Facebook上關(guān)注我們，或訂閱我們的YouTube頻道 。

“我喜歡編寫身份驗證和授權(quán)代碼。” ?從來沒有Java開發(fā)人員。 厭倦了一次又一次地建立相同的登錄屏幕？ 嘗試使用Okta API進行托管身份驗證，授權(quán)和多因素身份驗證。

``使用Spring Boot和GraphQL構(gòu)建安全API''最初于2018年8月16日發(fā)布在Okta開發(fā)人員博客上。

翻譯自: https://www.javacodegeeks.com/2018/08/build-a-secure-api-with-spring-boot-and-graphql.html

總結(jié)

以上是生活随笔為你收集整理的使用Spring Boot和GraphQL构建安全的API的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。