使 GraphQL api 安全
[英]Make GraphQL api secure
问题描述
我开始将 GQL 与 Express 结合使用(这太棒了)。 所以我有几个问题。
我怎样才能使 GQL 安全,这样只有我才能访问 API 和游乐场。 就像Instagram。 您无法访问他们的“游乐场”。
当我使用 rest api 时,我通过标头发送令牌以确保安全。 现在把它们放在哪里?
app.use(
"/graphql",
graphqlHTTP({
schema,
graphiql: true,
})
)
谢谢你。
2 个解决方案
解决方案1
3 2022-05-30 18:30:52
- 我强烈建议您不要将 playground 投入生产。 游乐场是一个 web 应用程序,它具有自身的复杂性,因此也具有自身的漏洞。 见黑客 GraphQL 游乐场
- GraphQL 中的身份验证与 REST 中的身份验证完全相同。实际上,您甚至可以在 GraphQL 应用程序上进行 REST 身份验证。 您可以在此处找到有关如何在 GraphQL 中正确管理身份验证、授权和访问控制的更多信息:GraphQL 的身份验证、授权和访问控制
解决方案2
1 2022-03-06 23:30:05
对于 1) 游乐场是用你那里的 graphiql 标志打开或关闭的。 至于保护它,你会想使用一个中间层来检查某种传入的令牌,并根据对该令牌的验证来允许/拒绝。
- GraphQL 在这方面的工作方式与 REST 端点完全相同。 标头中的标记是标准。
我应该制作自己的graphql样式api,但只能使用续集吗?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.