Jak nastavit JWT autentizaci v GraphQL API?

JWT autentizaci v GraphQL API můžeš udělat celkem jednoduše, i když je to trochu jiný přístup než u REST. Základ je generovat token při přihlášení uživatele, což je podle mě dobrá praxe. Měl bys použít nějakou knihovnu jako jsonwebtoken pro generování a ověřování tokenů. Když uživatel zadá správný login, tak mu prostě vrátíš token, který pak použiješ v hlavičce Authorization pro další požadavky.

Co se týče middleware, tak si můžeš vytvořit vlastní funkci pro ověřování tokenu a přidat ji do Apollo serveru. V té funkci bys měl zkontrolovat platnost tokenu a případně načíst informace o uživateli, co je v něm uložené. Pokud je token neplatný, tak můžeš vrátit chybu.

Délka platnosti tokenu záleží na tobě, ale často se doporučuje 1 hodina pro krátkodobé operace a pak obnovovací token na delší dobu. Vyvaruj se uložení citlivých dat do payloadu JWT, protože to může být snadno dešifrováno. No a běžné chyby? Tak pozor na to, aby ses nenechal nachytat na CSRF nebo XSS, když děláš autentizaci.

Snad to pomůže začít!

Nastavení JWT autentizace v GraphQL API je vlastně docela jednoduchý proces, ale pár věcí si musíš pohlídat. Pokud používáš Express, tak middleware je určitě správná cesta. Na začátek bys měl mít knihovny jako jsonwebtoken pro generaci a ověřování tokenů a třeba Apollo Server pro GraphQL. Při přihlášení uživatele generuj token a vracej ho jako odpověď. Délka platnosti tokenu závisí na tvých potřebách, běžně se používá 1 hodina nebo 24 hodin. Když pak přijde požadavek, middleware vezme token z hlavičky a ověří ho. Můžeš to udělat třeba ve funkci, která zkontroluje platnost a pak předá uživatelské informace do kontextu GraphQL. Bacha na to, abys nezapomněl na error handling pro neplatné tokeny, jinak se ti bude API chovat divně. Častou chybou je i špatná manipulace s refresh tokeny, pokud je používáš. Zkus si to rozdělit na menší části – jeden soubor na generaci tokenu, další na ověřování a třetí na GraphQL schéma, aby ses v tom lépe vyznal. Držím palce!

Nejdřív si ujasni, jak chceš pracovat s JWT. Přihlášení uživatele by mělo generovat token, ten pak pošli klientovi. K tomu můžeš použít knihovny jako jsonwebtoken pro generování a ověřování tokenů. Když uživatel udělá požadavek, middleware v Expressu zkontroluje, jestli je token platný, a když jo, tak ho můžeš přidat do kontextu GraphQL. To ti umožní mít přístup k informacím o uživateli v resolvers. Při nastavení expirace tokenu zvaž třeba hodinu nebo dvě, záleží na tvým use case. Zkus se vyvarovat ukládání tokenu do localStorage na frontendě kvůli bezpečnosti, radši ho drž v paměti nebo cookies s HttpOnly flagem. Běžné chyby: zapomínání na validaci tokenu na všech endpointách a neřešení chyb při ověřování. Struktura kódu? Rozděl si to na middleware pro autentizaci, resolvery a případně utils pro práci s JWT. Takže dost jednoduché, ale přehledné.