セキュリティ

GraphQLとRESETでは、APIの提供方法が根本的に異なります - GraphQLの場合、APIは単一のエンドポイントを介して提供されます。つまり、URLベースのフィルタリングはGraphQL APIには適用できません。さらに、REST APIはGET、POST、PUT、DELETEなどのリクエストメソッドに依存しますが、GraphQLは通常POST(またはリアルタイムのウェブソケット)で提供されます。攻撃者は、GraphQLエンドポイント(/graphqlで通常は提供される)をクロールして、認証で保護されていない場合、GraphiQLのようなインターフェースコンソールを悪用できます。

このセクションでは、Hasuraのセキュリティの最適化について紹介します。デフォルトでは一部「オープン」な設定があるため、データアクセスを保護するためには明示的な設定が必要です。

ここでは、以下について紹介します。

  • サービスレベルのセキュリティ
  • 認証と承認
  • 許可リスト
  • レート制限
  • 応答制限

また、ユースケースごとに最適化します。

Did you find this page helpful?
Start with GraphQL on Hasura for Free
  • ArrowBuild apps and APIs 10x faster
  • ArrowBuilt-in authorization and caching
  • Arrow8x more performant than hand-rolled APIs
Promo
footer illustration
Brand logo
© 2024 Hasura Inc. All rights reserved
Github
Titter
Discord
Facebook
Instagram
Youtube
Linkedin
graphql-handbook