使GraphQL api安全

Question

我开始在Express中使用GQL (它太棒了)。所以我有几个问题。

1. 我如何使GQL安全，只有我可以访问的API和操场在一般。比如Instagram。你不能进入他们的“操场”。
2. 当我使用rest时，为了安全起见，我发送了令牌槽标头。现在把它们放哪儿？

  app.use(
    "/graphql",
    graphqlHTTP({
      schema,
      graphiql: true,
    })
  )

谢谢。

Answer 1

1. 我强烈建议你不要让你的操场投入生产。操场是一个网络应用，它有自己的复杂性，因此也有自己的弱点。请参阅黑客攻击GraphQL游乐场
2. 身份验证在GraphQL中的处理与在REST中的处理完全相同。实际上，您甚至可以对您的GraphQL应用程序进行REST身份验证。在这里，您可以在GraphQL：GraphQL的认证、授权和访问控制中找到更多关于如何正确管理身份验证、授权和访问控制的信息。

Answer 2

( 1)操场是用你在那里的石墨画旗打开或关闭的。至于保护它，您需要使用中间，它检查某种类型的传入令牌，并允许/拒绝基于对该令牌的验证。

1. 在这方面，GraphQL与REST端点的工作方式完全相同。标头中的标记是标准的。