Сеанс GraphQl и passport: доступ req.пользователь при запросе GraphQl
у меня есть сервер GraphQl и интерфейс react. Я использую passport и LocalStrategy для аутентификации пользователя, который хорошо работает, я могу успешно войти в существующий пользователь. Я также хочу использовать passport session для создания сеанса пользователя, чтобы я мог получить доступ к зарегистрированному пользователю позже в моих GraphQL resolvers для аутентификации. Я ожидал, что passport установит пользователя в сеансе после успешной аутентификации. Но после отправки правильных учетных данных от клиента на сервер GraphQl запросы не имеют доступа к req.user.
код сервера GraphQL выглядит следующим образом:
import express from 'express';
import passport from 'passport';
import {Strategy as LocalStrategy} from 'passport-local';
import session from 'express-session';
import cors from 'cors';
import bodyParser from 'body-parser';
import models from './models';
import typeDefs from './schema';
import resolvers from './resolvers';
import { graphqlExpress, graphiqlExpress } from 'apollo-server-express';
import { makeExecutableSchema } from 'graphql-tools';
export const schema = makeExecutableSchema({
typeDefs,
resolvers,
});
const app = express();
app.use('*', cors({ origin: 'http://localhost:3000' }));
app.set('port', (process.env.PORT || 3001));
//--- Passport ----
app.use(session({
saveUninitialized: true,
resave: false,
secret: 'verysecretsecret'
}));
app.use(passport.initialize());
app.use(passport.session());
passport.serializeUser((user, done) => {
done(null, user);
});
passport.deserializeUser((user, done) => {
done(null, user);
});
passport.use(new LocalStrategy(
{
usernameField: 'email',
passwordField: 'password',
},
function(email, password, done) {
models.User.findOne({
where: {
email: email
}
}).then(function(user) {
if (user) {
if (user.validPassword(password)) {
return done(null, user);
} else {
return done(null, false);
}
}
return done(null, false);
});
}
));
//--- Routes ----
app.use('/graphiql', graphiqlExpress({
endpointURL: '/graphql'
}));
app.use(
'/graphql',
bodyParser.json(),
graphqlExpress( (req) => {
console.log('/graphql User: ' + req.user); // prints undefined after sending correct login credentials to /login
return ({
schema,
context: {
user: req.user,
},
});}),
);
app.use(bodyParser.urlencoded({ extended: true }) );
app.post('/login', passport.authenticate('local'), (req, res) => {
console.log('/login: User', req.user); // prints the logged in user's data
return res.sendStatus(200);
});
export default app;
и это запрос на получение логина от клиента:
onSubmit = () => {
var details = {
'email': this.state.email,
'password': this.state.password,
};
var formBody = [];
for (var property in details) {
var encodedKey = encodeURIComponent(property);
var encodedValue = encodeURIComponent(details[property]);
formBody.push(encodedKey + "=" + encodedValue);
}
formBody = formBody.join("&");
fetch('http://localhost:3001/login', {
method: 'POST',
headers: {
'Content-Type': 'application/x-www-form-urlencoded;charset=UTF-8'
},
credentials: 'include',
body: formBody
}).then(function(response) {
console.log(response);
}).catch(function(err) {
// Error
});
};
должен ли я что-то изменить на стороне клиента, чтобы сервер получил cookie сеанса? Или что-то не так в бэкэнде?
Я также загрузил минимальный пример в это РЕПО:https://github.com/schmitzl/passport-graphql-minimal-example
1 ответов
управление сеансами становится немного грязным, когда вы имеете дело с CORS. Есть несколько вещей, которые вам нужно изменить, чтобы получить поведение, которое вы ожидаете:
во-первых, измените код сервера, чтобы убедиться, что вы отправляете :
app.use('*', cors({ origin: 'http://localhost:3000', credentials: true }));
далее, убедитесь, что ваши запросы на самом деле, в том числе печенье. Вы сделали это с запросом входа в систему, установив до include. Аполлон использует fetch под капотом, и нам нужно пройти это вариант также.
возможно, я что-то упускаю, но не похоже, что apollo-boost обеспечивает простой способ сделать выше (у вас есть fetchOptions, но в том числе credentials там, похоже, ничего не делают). Мой совет был бы ломать apollo-boost и просто используйте соответствующие библиотеки напрямую (или используйте apollo-client-preset). Тогда вы можете передать соответствующий до HttpLink:
import ApolloClient from 'apollo-client'
import { HttpLink, InMemoryCache } from 'apollo-client-preset'
const client = new ApolloClient({
link: new HttpLink({ uri: apolloUri, credentials: 'include' }),
cache: new InMemoryCache()
})