Kiểm Soát Truy Cập

Endpoint GraphQL, có thể trả về bất kỳ dữ liệu nào có thể truy cập qua schema, có khả năng cho phép các tác nhân độc hại lấy thông tin riêng tư. Do đó, chúng ta phải triển khai các biện pháp bảo mật để bảo vệ dữ liệu.

​

Kiểm Soát Truy Cập

Với danh sách kiểm soát truy cập, chúng ta có thể xác định ai có thể truy cập từng thao tác, trường và chỉ thị trong schema:

• Vô hiệu hóa quyền truy cập cho tất cả mọi người
• Cấp quyền truy cập nếu người dùng đã đăng nhập hoặc chưa đăng nhập
• Cấp quyền truy cập nếu người dùng có vai trò nhất định
• Cấp quyền truy cập nếu người dùng có quyền hạn nhất định
• Cấp quyền truy cập nếu khách truy cập đến từ một địa chỉ IP hoặc dải IP nhất định

​

Schema Công Khai/Riêng Tư

Điều gì sẽ xảy ra khi một người dùng không có quyền truy cập vào một trường hoặc chỉ thị nào đó trong schema cố gắng truy cập nó?

Với chế độ API công khai/riêng tư, chúng ta có thể kiểm soát hành vi mong muốn:

Trong API công khai, các trường trong schema được hiển thị, và khi quyền không được đáp ứng, người dùng nhận được thông báo lỗi mô tả lý do tại sao quyền bị từ chối.

Trong API riêng tư, schema được tùy chỉnh cho từng người dùng, chỉ chứa các trường có sẵn cho họ, và do đó khi cố gắng truy cập một trường bị cấm, thông báo lỗi cho biết rằng trường đó không tồn tại.