Авторизация graphql подписок с эликсиром и абсентом с использованием куки - PullRequest
4 голосов
/ 16 апреля 2020

Я пытаюсь сделать авторизацию / аутентификацию подписки graphql с помощью эликсира и абсента, используя куки, и я использовал следующую ссылку:

https://nts.strzibny.name/graphql-subscriptions-with-elixir-and-absinth/

I'm пытаюсь аутентифицировать пользователя для подписки на права topi c, но у меня нет доступа к куки в подключении по подписке. Почему?

После того, как я увидел следующую ссылку:

https://hexdocs.pm/absinthe_phoenix/Absinthe.Phoenix.Socket.html

И в моем user_socket.ex я передаю user_id в качестве параметра запроса, это работает, но это совсем не безопасно ... Я могу передать идентификатор, который я хочу ?? !!

Может кто-нибудь помочь мне?

 @moduledoc false

 use Phoenix.Socket

 use Absinthe.Phoenix.Socket,
   schema: MyAppGraphQL.Schema

 ## Channels
 # channel "room:*", MyAppWeb.RoomChannel

 # Socket params are passed from the client and can
 # be used to verify and authenticate a user. After
 # verification, you can put default assigns into
 # the socket that will be set for all channels, ie
 #
 #     {:ok, assign(socket, :user_id, verified_user_id)}
 #
 # To deny connection, return `:error`.
 #
 # See `Phoenix.Token` documentation for examples in
 # performing token verification on connect.
 def connect(%{"user_id" => user_id}, socket) do
   case current_user(user_id) do
     nil ->
       :error

     current_user ->
       socket =
         Absinthe.Phoenix.Socket.put_options(socket,
           context: %{
             current_user: current_user
           }
         )

       {:ok, socket}
   end
 end

 def connect(_, _), do: :error

 defp current_user(user_id), do: MyApp.Accounts.lookup_user_with_company(user_id)

 # Socket id's are topics that allow you to identify all sockets for a given user:
 #
 #     def id(socket), do: "user_socket:#{socket.assigns.user_id}"
 #
 # Would allow you to broadcast a "disconnect" event and terminate
 # all active sockets and channels for a given user:
 #
 #     MyAppWeb.Endpoint.broadcast("user_socket:#{user.id}", "disconnect", %{})
 #
 # Returning `nil` makes this socket anonymous.
 def id(_socket), do: nil
end```
...