이 글은 원래 Monolith Bias_ 개발팀의 기술 블로그 Ingenious에 게시되었습니다.


Blitz가 풀스택 애플리케이션을 개발하는 것만큼 훌륭하지만 Ruby on Rails에 포함된 배터리가 여전히 그립습니다. Rails와 같은 성숙한 프레임워크를 거의 1년이 지나지 않은 Blitz와 비교할 수 없다는 것을 알고 있지만 "그만큼 보석이 있어야 한다"는 느낌은 확실히 그립습니다.

웹 앱에서 작업할 때 가장 그리워하는 것 중 하나는 권한 부여를 관리하는 중앙 집중식 장소입니다. 승인은 웹 앱이 가질 수 있는 가장 일반적인 요구 사항입니다. Blitz 자체가 세션에 내장된 $authorize 메서드를 사용하여 이 문제를 해결하려고 시도하지만 권한 부여가 데이터 속성에 종속되는 경우 부족합니다. 기술적으로 attributes-based access control .

좋은 소식은 친구이자 전 Ingenious 직원이 만든Blitz Guard API가 RoR cancancan gem에 가깝지만 Blitz와 함께 작동하도록 조정되었다는 것입니다.

설치

Blitz Guard 최신 릴리스에서는 다음을 실행할 수 있습니다.

$ blitz install ntgussoni/blitz-guard-recipe

이 라인은 Blitz Guard 레시피를 사용하여 라이브러리를 설치합니다. Recipes은 앱에 새 소프트웨어를 설치하는 훌륭한 안내 방법입니다. 라이브러리 개발자가 코드베이스를 손상시키지 않고 업데이트할 수 있습니다.

안에 뭐가 들어있어

일단 설치하면 여러 개의 새 파일로 끝납니다. 가장 중요한 것은 app/guard/ability.ts 입니다. 이 파일은 권한 부여 논리의 핵심이며 사용자가 앱에서 작업을 수행할 수 있는지 여부에 관계없이 단일 정보 소스 역할을 합니다.

import db from "db"
import { GuardBuilder, PrismaModelsType } from "@blitz-guard/core"
import { GetShoppingCartInput } from "app/shoppingCarts/queries/getShoppingCart"

type ExtendedResourceTypes = PrismaModelsType<typeof db>

type ExtendedAbilityTypes = ""

const Guard = GuardBuilder<ExtendedResourceTypes, ExtendedAbilityTypes>(
  async (ctx, { can, cannot }) => {
    cannot("manage", "all")
    if (ctx.session.$isAuthorized()) {
      can("read", "shoppingCart", async ({ where }: GetShoppingCartInput) => {
        return where.userId === ctx.session.userId
      })
    }
  }
)

export default Guard

ability 파일은 Guard 함수를 사용하여 GuardBuilder를 생성합니다. 결과 가드는 모든 승인된 쿼리 또는 돌연변이에 대해 실행됩니다.

예를 들어 소유자를 기준으로 장바구니에 대한 액세스를 거부하려는 경우입니다. 다음과 같이 할 수 있습니다.

// app/guard/ability.ts

import { GetShoppingCartInput } from "app/shoppingCart/queries/getShoppingCart"
// ...

if (ctx.session.$isAuthorized()) {
  can("read", "shoppingCart", async ( { where }: GetShoppingCartInput ) => {
    return where.userId === ctx.session.userId;
  })
}

GetShoppingCartInput은 getShoppingCart 쿼리에서 사용하는 것과 동일한 TS 유형입니다.
can (및 cannot ) 메서드에는 세 개의 매개 변수가 있습니다. 첫 번째는 수행할 작업(생성, 읽기, 업데이트, 삭제 또는 관리)이고, 두 번째는 이 가드가 적용되는 Prisma 스키마 객체입니다(이는 Prisma에 종속될 필요가 없으며 다음을 사용하여 확장할 수 있습니다. ExtendedResourceTypes ), 세 번째는 부울로 해석되어야 하는 비동기 함수입니다.

이 세 번째 인수에서는 로그인한 사용자에게 지정된 리소스에 대한 작업을 수행할 권한이 있는지 여부를 확인하기 위해 DB 쿼리와 같은 원하는 논리를 구현할 수 있습니다. 더 흥미로운 예는 다음과 같습니다.

//...
if (ctx.session.$isAuthorized()) {
  can("read", "shoppingCart", async ( { where }: GetShoppingCartInput ) => {
    if(where.userId === ctx.session.userId) return true
    const count = await db.shoppingCartShare.count({ where: { userId: ctx.session.userId, shoppingCartId: where.id } })
    return count > 0
  })
}

☝️ 여기서 우리는 사용자가 장바구니 소유자이거나 장바구니가 이전에 이 사용자와 공유되었다고 주장합니다.

권한 부여 기능

지금까지는 너무 좋았지만 기능을 승인하지 않으면 능력 파일을 변경해도 아무 소용이 없습니다. Blitz Guard는 authorize 메서드로 쿼리와 돌연변이를 래핑하는 경우에만 함수 호출을 가로채서 가드를 실행합니다.

import { Ctx, NotFoundError } from "blitz"
import db, { Prisma } from "db"
import Guard from "app/guard/ability"

export type GetShoppingCartInput = Pick<Prisma.ShoppingCartFindFirstArgs, "where">

async function getShoppingCart({ where }: GetShoppingCartInput, ctx: Ctx) {
 ctx.session.$authorize()

 const cart = await db.shoppingCart.findFirst({ where })

 if (!cart) throw new NotFoundError()

 return cart
}

export default Guard.authorize("read", "shoppingCart", getShoppingCart)

이 함수의 처음 두 인수는 can 및 cannot 함수가 받는 동일한 인수이기 때문에 친숙해 보일 것입니다. 세 번째 인수는 우리가 감싸고자 하는 함수이며, 가드 기준이 충족될 때만 호출됩니다. 그렇지 않으면 403이 됩니다.

이 단계는 잊어버리기 쉽고, Blitz 생성기 기본값이 생성된 기능을 내보낼 때 더욱 그렇습니다. 이를 돕기 위해 Blitz Guard는 Guard.authorize 함수로 래핑되지 않은 쿼리 및 변형에 대해 (개발 중) 경고하는 미들웨어를 설치합니다.

마지막 단어

Blitz Guard는 아직 많이 개발 중이지만 API가 많이 바뀔 것이라고 생각하지 않습니다. 흩어져 있는 비즈니스 로직을 한 곳으로 옮겨 야심찬 Blitz 앱을 개발할 계획이라면 훌륭한 옵션입니다.