Edit on GitHubセキュリティ
GraphQLとRESETでは、APIの提供方法が根本的に異なります - GraphQLの場合、APIは単一のエンドポイントを介して提供されます。つまり、URLベースのフィルタリングはGraphQL APIには適用できません。さらに、REST APIはGET、POST、PUT、DELETEなどのリクエストメソッドに依存しますが、GraphQLは通常POST(またはリアルタイムのウェブソケット)で提供されます。攻撃者は、GraphQLエンドポイント(/graphqlで通常は提供される)をクロールして、認証で保護されていない場合、GraphiQLのようなインターフェースコンソールを悪用できます。
このセクションでは、Hasuraのセキュリティの最適化について紹介します。デフォルトでは一部「オープン」な設定があるため、データアクセスを保護するためには明示的な設定が必要です。
ここでは、以下について紹介します。
- サービスレベルのセキュリティ
- 認証と承認
- 許可リスト
- レート制限
- 応答制限
また、ユースケースごとに最適化します。
Did you find this page helpful?
Start with GraphQL on Hasura for Free
Build apps and APIs 10x faster- Built-in authorization and caching
- 8x more performant than hand-rolled APIs
© 2024 Hasura Inc. All rights reserved
