问题描述
我使用 AWS 的 Amplify 创建了一个 GraphQL API。在架构中,我有一个如下所示的 Comment 模型:
type Comment
@auth(rules: [{ allow: owner },{ allow: private,operations: [read] },{ allow: public,operations: [read] }])
@model
@key(name: "byAuthor",fields: ["authorID"])
@key(name: "byPost",fields: ["postID"]) {
content: String!
createdAt: AWSDateTime!
id: ID!
owner: String
postID: ID!
updatedAt: AWSDateTime!
}
这赋予所有者创建、读取、更新和删除的权限,并将未经身份验证/经过身份验证的非所有者用户限制为只读。这按预期工作;然而,所有者可以更新 ownerField 的值,实质上是将评论归因于另一个用户......这是一个禁忌。为了防止这种情况,我尝试使用字段级权限(见下文);然而,这似乎并没有停止更新。
...
owner: String @auth(rules: [{ allow: owner,operations: [ create ]}])
...
有什么我遗漏的吗?非常感谢您的帮助——谢谢!
解决方法
你很亲近。使用字段级 @auth
指令,您希望明确授予所有者 create
和 read
的能力,并明确拒绝世界update
和 {{1 }}。它可能看起来像:
delete
这里,“FORBIDDEN”组是一个不存在的组。只要您不打算在将来实际使用该名称创建组,它的名称就可以是任何名称。由于没有用户永远拥有“FORBIDDEN”组声明,因此对该字段的任何/所有 type Todo
@model
@auth(rules: [{ allow: owner,ownerField: "author" }]) {
id: ID!
name: String!
author: String
@auth(
rules: [
{ allow: groups,groups: ["FORBIDDEN"],operations: [update,delete] }
{ allow: owner,ownerField: "author",operations: [create,read] }
]
)
}
或 update
操作都将失败。