【Hasura Docs翻訳】アクセスコントロールの基礎
Hasura公式ドキュメントを翻訳しました Access control basics
前書き
Hasuraのアクセスコントロールの基礎を理解するために、SQLクエリとの共通点を見てみましょう:
このクエリは、既存のテーブルの行と列の要求を定義することにより、正しい結果を返します。Hasuraのルールベースのアクセスコントロールも同様に動きます。Role, Table, Action(insert, update, select and delete)の組み合わせに対して以下の権限を定義します。
行レベルの権限
この権限に基づいて、テーブルの行の一部のアクセスを制限します。行レベルの権限は、基本的にブール式であり、任意の行を評価した時にアクセスが可能かどうか決定されます。これらの権限は、ブール式を作成するために列やセッション変数、静的な値から構成されます。
列レベルの権限
上記に基づいてアクセス可能な行については、この権限ルールに基づいて列の一部を制限します。
詳しくは
全ての構成オプションについては、アクセス許可ルールの構成を参照ください。
例
簡単な例を使用して、アクセスコントロールをみてみましょう
テーブルを作成する
コンソール画面に行き、次のスキーマにしたがってauthor
というテーブルを作成します。
author ( id INT PRIMARY KEY, name TEXT )
次に、author
テーブルのInsert Row
タブを使用してサンプルデータを挿入していきます。
アクセス制御なしでクエリを実行する
コンソール画面のGraphQL
タブに移動し、次のクエリを実行しください。
query { author { id name } }
デフォルトのGraphQLクエリは管理者権限で実行されるため、全ての著者を含んだレスポンスを受け取ることがわかります。
アクセス制御ルールを定義する
次に、author
テーブルにusers
に対するアクセスコントロールのルールを定義しましょう。テーブルの権限タブに移動し(Data –> table –> Permissions tab)、以下に示すように権限を定義してください:
この権限のルールは「user
とauthor
テーブル、select
/query
操作に対して、id
列がセッション値のX-Hasura-User-ID
と同じ値である行へのアクセスを許可する」と読みます。
アクセス制御を使用してクエリを実行する
上記と同じクエリを実行してみましょう。ただし、役割とユーザー情報を示すためにX-Hasura-Role
とX-Hasura-User-ID
セッション変数も含まれています。これらのセッション変数は、以下で強調表示されているGraphiQL
のRequest Headersセクションに渡されます:
ご覧の通り、結果はuser
に対するアクセスコントロールのルールに基づきフィルターされています(セッション変数のX-Hasura-Role
によって役割が示されています)。そして、結果はid
行が(セッション変数のX-Hasura-User-ID
によって示されている)1
の値である行に絞られています。
ドキュメントの認証と認可の概要のセクションで説明されているように、認証トークンをこれらのセッション変数に解決するには、認証サービスが必要です。詳細については、 リファレンス-セッション変数を参照してください。
次のステップ
役割とセッション変数の記事を読む: 役割とセッション変数
より詳細な例を参照する:一般的なアクセス制御の例