“我喜歡編寫身份驗證和授權代碼。” ?從來沒有Java開發人員。 厭倦了一次又一次地建立相同的登錄屏幕？ 嘗試使用Okta API進行托管身份驗證，授權和多因素身份驗證。

GraphQL是Facebook在2012年開發的一種數據查詢語言，用于解決REST API和傳統數據庫模型的缺點。 通常，當程序員編寫REST API數據查詢時，他們默認只在需要一部分數據時才檢索整個數據結構。 例如，如果您要查找博客文章中的評論數，開發人員通常可能會檢索整個文章和所有關聯的字段以及所有評論及其所有關聯字段， 只是為了計算結果中的評論數數組。

這是非常低效的。 但是，現代計算機速度很快。 只要您有成百上千的用戶，這些天甚至是共享服務器都非常快。 但是，當您達到Facebook規模，在互聯網上接觸到相當多的人時，這種情況就會崩潰。 這種低效率變得不可行或昂貴。

當然，可以編寫更好的SQL查詢（或NoSQL查詢）并編寫特定的API前端調用來計算效率更高的博客文章數量-但是您必須為每個特定的數據查詢執行此操作案件。

還存在需要更多數據的問題。 如果您想要一組用戶博客文章及其相關評論，并且還想要另一組不相關的數據怎么辦？ 通常，您分別對REST API進行兩次調用。 實際上，在檢索所有必需的數據時，REST API交互可能會在特定的API交互過程中導致數十個調用。 同樣，在現代寬帶上并且用戶相對較少，這是有效的。 隨著成千上萬甚至數十億的用戶，它崩潰了。 毫秒效率至關重要。 減少網絡呼叫的數量很重要。

必須有一種更好的方法，一種更通用的方法，以允許前端僅請求其所需的數據，并通過組合對數據的請求來減少網絡交互的次數。

這就是Facebook開發GraphQL的原因。 它提供了一個框架來描述您的數據模型，并允許數據的使用者確切地要求他們想要什么并檢索可預測的結果。

什么時候使用GraphQL？

GraphQL具有強大的功能和靈活性，并且在Internet規模上使用時，可以顯著提高傳統REST API的性能。 那你為什么不使用它呢？ 好吧，以我的經驗，在較小的項目中，我覺得我經常只是將很多REST邏輯轉移到GraphQL模式定義中，在那里驗證和授權代碼最終嵌套在一個相當丑陋的巨大模式中。 我還覺得我在重復數據類型定義：一次是在GraphQL中，另一次是在ORM中（這可能不是所有實現的問題）。

GraphQL還帶來了一系列獨特的安全問題–它沒有錯。 它與使用REST API或SQL查詢將有所不同，因此您需要花一些時間來研究安全性。 我會考慮在應用程序Swift擴展或數據集可能隨時間顯著發展的情況下使用它。 如果我在一個較小的項目中只有一組定義良好的數據，那么我可能只會堅持使用REST API。

如何使用GraphQL？

從開發人員的角度來看，有兩個主要組件：

• 類型說明
• 查詢語言

類型描述最終看起來很像ORM（如果您熟悉的話）。 您定義類型和這些類型上的字段。 稍后，您還將定義函數以從數據庫中檢索該信息。

例如，讓我們看一個非常簡單的博客文章定義。

type Post { id: ID! text: String! }

很基本。 post具有id和text字段。 讓我們在Post類型定義中添加一些注釋。

type Post { id: ID! text: String! comments: [Comment!]! } type Comment { id: ID! text: String! }

現在，Post類型包含一個Comments類型的數組。 我們如何將其轉換為可用的GraphQL模式定義？

我們需要做兩件事：

定義“查詢”類型-所有GraphQL查詢進入我們數據的入口點

為每種類型的每個字段編寫方法，這些方法從數據類型返回所請求的字段

定義GraphQL模式查詢

在簡單的示例應用程序，我們正在建立，我們希望能夠查詢的帖子，所以讓我們來添加一個查詢類型與post Post類型的字段。 我們的GraphQL模式現在看起來像這樣：

type Query { post(id: ID!): Post }type Post { id: ID! text: String! comments: [Comment!]! } type Comment { id: ID! text: String! }

重申一下，Post和Comment類型直接描述了我們的數據結構，而Query類型則是GraphQL-ism，這是一種特殊類型，用于定義模式的只讀入口點。 還有一種Mutation類型，可在架構中提供可變的訪問點。

要注意的另一件事是字段可以有參數。 如果查看Query類型上的post字段，您會注意到它具有ID類型的參數。 可以在查詢中指定此參數，并將該參數傳遞給調用該函數以檢索數據。

順便說一句，感嘆號僅表示該類型不可為空。

GraphQL中的類型

GraphQL基本上是關于在類型上定義字段并查詢這些字段。 它是強類型的，并且具有5種內置標量類型：

• Int：32位整數
• 浮點數：帶符號的雙精度浮點值
• 字符串：UTF-8字符序列
• 布爾值：對或錯
• ID：唯一標識符，序列化為字符串

還可以定義自定義標量類型，例如Date類型，并且必須提供用于序列化，反序列化和驗證的方法。

也可以指定枚舉和列表/數組。 我們在上面的Post類型中創建了Comments列表。

GraphQL官方文檔提供了有關類型和架構的更多信息。

在Java中使用GraphQL

在本教程中，我們將使用一個名為graphql-tools的項目將GraphQL與Spring Boot集成在一起。 根據項目github頁面自述文件， graphql-tools “允許您使用GraphQL模式語言來構建您的graphql-java模式，并允許您BYOO（帶上自己的對象）來填充實現。”

如果您擁有或想要擁有定義數據模型的普通舊Java對象（PO??JO），則此方法非常有用。 我做的。

我們的POJO會是什么樣？

class Post { protected int id; protected String text; Post(int id) { this.id = id; this.text = ""; this.comments = new ArrayList(); } Post(int id, String text, ArrayList comments) { this.id = id; this.text = text; this.comments = comments; } protected ArrayList comments; }class Comment { private int id; private String text; Comment(int id, String text) { this.id = id; this.text = text; } }

這些類將定義我們的數據模型的基本類型，并將與GraphQL模式中的類型相對應。 它們將在單獨的Java類文件中定義。 （明白我對重復數據定義的意思嗎？）

我們還需要定義幾個“解析器”。 graphql-tools使用解析器來解析非標量類型。 GraphQL架構中包含非標量類型的每種類型都需要具有關聯的解析器。 因此，我們的Query類型和Post類型需要解析器，而我們的評論類型則不需要解析器。

這是后解析器的外觀：

class PostResolver implements GraphQLResolver { public List getComments(Post post) { return post.comments; } }

這是查詢解析器的框架：

class Query implements GraphQLQueryResolver { Post getPost(int id) {// Do something to retrieve the post} }

下載Spring Boot示例應用程序

現在，我們進入了令人興奮的部分！ 構建一個使用GraphQL的Spring Boot應用程序，并使用Okta保護該應用程序（我們將繼續講到這，Okta使超級簡單）。

現在是繼續下載示例應用程序的好時機。 它基于graphql-java github頁面上這個很棒的項目中的example-graphql-tools項目。

git clone https://github.com/oktadeveloper/okta-springboot-graphql-example.git

該項目實際上是兩個子項目：

• OktaShowToken ：用于從Okta OAuth OIDC應用程序檢索工作授權令牌
• OktaGraphQL ：基于GraphQL的 Spring Boot資源服務器（我們將在最后添加Okta Auth

創建Okta OAuth應用程序并安裝HTTPie

本教程假設您已經有一個免費的Okta Developer帳戶（如果沒有，為什么不直接轉到developer.okta.com并創建一個）。

為什么選擇Okta？

在Okta，我們的目標是使身份管理比您以往更加輕松，安全和可擴展。 Okta是一項云服務，允許開發人員創建，編輯和安全地存儲用戶帳戶和用戶帳戶數據，并將它們與一個或多個應用程序連接。 我們的API使您能夠：

• 驗證和授權用戶
• 存儲有關您的用戶的數據
• 執行基于密碼的社交登錄
• 通過多因素身份驗證保護您的應用程序
• 以及更多！ 查看我們的產品文檔

在Okta中創建新的OIDC應用

要在Okta上創建新的OIDC應用，您可以從默認設置開始，然后：

登錄到您的開發人員帳戶，導航到“ 應用程序” ，然后單擊“ 添加應用程序” 。

選擇“ Web” ，然后單擊“ 下一步” 。

為應用程序命名，添加http://localhost:8080/login作為登錄重定向URI，然后單擊完成 。

我們將使用HTTPie，一個出色的HTTP命令行客戶端。 因此，如果尚未安裝該產品，請簽出該產品，然后按照httpie.org上的安裝說明進行操作 。

查看OktaGraphQL示例應用程序

讓我們暫時忽略OktaShowToken項目，看看OktaGraphQL，它最初配置為無需身份驗證即可運行。

您會注意到，除了com.okta.springbootgraphql.resolvers包中的POJO類和解析器以及src/main/resources/graphql-tools.graphqls的GraphQL模式定義之外，它并沒有太多src/main/resources/graphql-tools.graphqls 。

在這一點上，大多數應該是不言自明的。 我只是指出，我們的Query類（查詢??解析器）是一種快速而骯臟的技巧，以避免必須設置實際的數據庫數據源。 我們只是根據ID編號即時生成Post和Comment 。 在實際的實現中，您將在此處添加一些其他業務層邏輯，例如授權，并在數據源中查找數據。

class Query implements GraphQLQueryResolver { Post getPost(int id) { if (id == 1) { ArrayList comments = new ArrayList() {{ add(new Comment(1, "GraphQL is amazing!")); }}; return new Post(id, "Okta + GraphQL is pretty sweet.", comments); } else if (id == 2) { ArrayList comments = new ArrayList() {{ add(new Comment(1, "I can't believe how easy this is.")); }}; return new Post(id, "Is GraphQL better than a REST API?", comments); } else { return null; } } }

運行您的第一個GraphQL查詢

打開一個終端，從OktaGraphQL項目目錄，使用./gradlew bootRun命令啟動Spring Boot應用程序。

開始可能需要幾秒鐘。 您應該看到一些結束像這樣的輸出：

Tomcat started on port(s): 9000 (http) with context path '' Started GraphQLToolsSampleApplication in 19.245 seconds (JVM running for 19.664)

使該終端窗口保持打開狀態，然后打開另一個終端窗口。 再次導航到項目根目錄。 使用以下命令運行我們的第一個GraphQL查詢：

http POST http://localhost:9000/graphql/ < json-requests/post1-all-data.json

在這里，我們以內容類型application/json發出POST請求（因為這是HTTPie的默認HTTPie ），并且我們將在json-requests/post1-all-data.json文件中找到的查詢作為請求正文發送。

來自json-requests/post1-all-data.json的請求主體：

{ "query": "{ post(id: '1') { id, text, comments { id, text} } }" }

預期結果：

HTTP/1.1 200 Content-Length: 122 Content-Type: application/json;charset=UTF-8 Date: Fri, 03 Aug 2018 21:50:25 GMT{"data": {"post": {"comments": [{"id": "1","text": "GraphQL is amazing!"}],"id": "1","text": "Okta + GraphQL is pretty sweet."}} }

此時，您可以使用JSON請求文件，請求較少的數據或請求其他帖子。

我們將繼續添加身份驗證。

為Okat添加Okta

此時，您需要從Okta OAuth應用程序設置中獲取一些信息：

• 客戶編號
• 客戶機密
• 您的Okta基本網址（類似這樣的內容： https://dev-123456.oktapreview.com : https://dev-123456.oktapreview.com ）

可以在應用程序的常規設置中找到客戶端ID和客戶端密鑰（選擇“ 應用程序”菜單，選擇要使用的應用程序，最后選擇“ 常規”選項卡）。

在OktaGraphQL項目中，創建gradle.properties文件并填寫以下屬性：

oktaClientId={yourClientId} oktaBaseUrl=https://{yourOktaDomain}

在src/main/resources/application.yml文件中，添加以下屬性：

okta: oauth2: issuer: ${oktaBaseUrl}/oauth2/default clientId: ${oktaClientId} scopes: 'email profile openid'

將以下依賴項添加到OktaGraphQL項目中的build.gradle文件中。 這些是Spring Boot OAuth依賴項和Okta Spring Boot啟動器 。

compile group: 'com.okta.spring', name: 'okta-spring-boot-starter', version: '0.6.0' compile group: 'org.springframework.security.oauth', name: 'spring-security-oauth2', version: '2.3.3.RELEASE' compile ('org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.0.1.RELEASE')

現在，我們向GraphQLToolsSampleApplication類添加兩個注釋（ @EnableResourceServer和@EnableOAuth2Sso ）。 它看起來應該像這樣：

package com.okta.springbootgraphql; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.autoconfigure.security.oauth2.client.EnableOAuth2Sso; import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer; @SpringBootApplication @EnableResourceServer @EnableOAuth2Sso public class GraphQLToolsSampleApplication { public static void main(String[] args) { SpringApplication.run(GraphQLToolsSampleApplication.class, args); } }

停止您的Spring Boot應用程序（如果它仍在運行），然后使用./gradlew bootRun重新啟動它。

對GraphQL服務器運行查詢，您將看到401錯誤：

HTTP/1.1 401 Cache-Control: no-store Content-Type: application/json;charset=UTF-8 Date: Fri, 03 Aug 2018 22:10:50 GMT Pragma: no-cache Transfer-Encoding: chunked WWW-Authenticate: Bearer realm="api://default", error="unauthorized", error_description="Full authentication is required to access this resource" X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block{"error": "unauthorized","error_description": "Full authentication is required to access this resource" }

獲取訪問令牌

要立即訪問受保護的GraphQL服務器，我們需要Okta訪問令牌。 通常，這可以通過應用程序前端的上下文進行管理。 在本教程中，我們將使用OktaShowToken應用程序從Okta應用程序檢索授權令牌。

在OktaShowToken項目中，創建gradle.properties文件并填寫以下屬性：

oktaClientId={yourClientId} oktaClientSecret={yourClientSecret} oktaBaseUrl=https://{yourOktaDomain}

打開一個終端，轉到OktaShowToken項目根目錄，然后運行./gradlew bootRun 。

應用程序啟動完成后，導航至http://localhost:8080 。

您將完成Okta登錄和身份驗證過程。 您應該看到Okta登錄屏幕。

登錄后，您將看到一個包含訪問令牌的文本頁面。 讓此頁面保持打開狀態和/或將此令牌復制到以后可以使用的位置。

使用訪問令牌訪問GraphQL端點

首先讓我們將令牌值存儲在一個臨時的shell變量中：

TOKEN={accessTokenValue}

然后，讓我們再次設置授權標頭來運行請求。 您需要從OktaGraphQL目錄運行以下命令。

http POST http://localhost:9000/graphql/ Authorization:"Bearer $TOKEN" < json-requests/post1-all-data.json

您應該看到以下熟悉的結果：

HTTP/1.1 200 Cache-Control: no-cache, no-store, max-age=0, must-revalidate Content-Length: 122 Content-Type: application/json;charset=UTF-8 Date: Fri, 03 Aug 2018 22:22:00 GMT Expires: 0 Pragma: no-cache X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block{"data": {"post": {"comments": [{"id": "1","text": "GraphQL is amazing!"}],"id": "1","text": "Okta + GraphQL is pretty sweet."}} }

了解有關Spring Boot，GraphQL和安全API設計的更多信息

就是這樣！ GraphQL顯然是一門很深的主題，如果您來自傳統的REST API背景，則需要對其進行一些深入的研究，以轉變范例并正確實現所有內容。

GraphQL人員在他們的文檔中反復指出， GraphQL不會替代您的業務邏輯層 ，而是提供一種位于您的業務邏輯層和外界之間的數據訪問查詢語言和類型架構。 看看他們的授權文檔，以了解一下。

但是正如您所看到的，Okta的Spring Boot Starter使保護GraphQL端點非常簡單。 如果您有興趣了解有關Spring Boot或GraphQL的更多信息，請查看以下相關文章：

• 使用React，GraphQL和用戶身份驗證構建運行狀況跟蹤應用
• Spring Boot，OAuth 2.0和Okta入門
• 使用Spring Boot和OAuth 2.0進行安全的服務器到服務器通信
• 確保Spring Boot應用程序安全的10種絕佳方法

如果您對此帖子有任何疑問，請在下面添加評論。 有關更多精彩內容， 請在Twitter上關注@oktadev ， 在Facebook上關注我們，或訂閱我們的YouTube頻道 。

“我喜歡編寫身份驗證和授權代碼。” ?從來沒有Java開發人員。 厭倦了一次又一次地建立相同的登錄屏幕？ 嘗試使用Okta API進行托管身份驗證，授權和多因素身份驗證。

``使用Spring Boot和GraphQL構建安全API''最初于2018年8月16日發布在Okta開發人員博客上。

翻譯自: https://www.javacodegeeks.com/2018/08/build-a-secure-api-with-spring-boot-and-graphql.html

總結

以上是生活随笔為你收集整理的使用Spring Boot和GraphQL构建安全的API的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。