开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么GraphQL输入类型破坏了应用程序

GraphQL输入类型破坏了应用程序的原因是因为它允许客户端传递任意的嵌套结构，这可能导致潜在的安全风险和性能问题。

首先，GraphQL输入类型的灵活性使得客户端可以传递任意的嵌套结构，这可能导致潜在的安全风险。例如，客户端可以通过嵌套查询来获取敏感数据，或者通过嵌套变异来修改不应该被修改的数据。这可能导致数据泄露、数据篡改等安全问题。

其次，GraphQL输入类型的灵活性也可能导致性能问题。由于客户端可以传递任意的嵌套结构，服务器需要处理更复杂的查询和变异。这可能导致服务器负载增加，响应时间延长，甚至可能引发服务器崩溃。

为了解决这些问题，可以采取以下措施：

限制查询和变异的嵌套深度：可以在服务器端设置最大嵌套深度的限制，以防止客户端传递过于复杂的查询和变异。
验证和授权：在服务器端对接收到的查询和变异进行验证和授权，确保只有经过授权的操作才能执行。
数据过滤和隐藏敏感信息：在服务器端对返回的数据进行过滤，确保只返回客户端需要的数据，并隐藏敏感信息。
缓存和优化：可以使用缓存技术来提高查询的性能，减少服务器的负载。
监控和日志：及时监控服务器的性能和安全情况，记录日志以便进行故障排查和安全审计。

腾讯云提供了一系列与GraphQL相关的产品和服务，例如云函数SCF（https://cloud.tencent.com/product/scf）、API网关（https://cloud.tencent.com/product/apigateway）、云数据库MongoDB（https://cloud.tencent.com/product/mongodb）等，可以帮助开发者构建安全、高性能的GraphQL应用程序。

相关搜索:GraphQL -数据不能为非输入类型...配置是否已损坏？GraphQL HotChocolate找不到输入类型的兼容构造函数 GraphQL联合和输入类型？iPhone Web应用程序和特定输入类型 NestJS/GraphQL -无法确定"employer“的GraphQL输入类型 Scala:为什么类型转换隐式破坏了代码为什么F#不喜欢输入类型('a list list)？为什么每个GraphQL模式都有一个根查询和突变类型？为什么由类型-graphql处理的参数总是作为未定义的从GraphQL使用APIRouter时，为什么看不到FastAPI应用程序

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

GraphQL入门之变更输入类型

前一篇文章介绍了变更操作，在创建 User 对象的时候，只传递了 name 和 email 参数，但是如果属性太多或者创建对象的时候只需要部分必选参数，直接把属性都当成参数就不合适了，这里 GraphQL...创建 schema.graphql 文件，内容如下： type User { id: ID!...} schema { query: Query mutation: Mutation } schema 文件主要包括：新增了输入参数 UserInput 的定义，作为演示只包含两个参数 name...修改变更操作不再使用 name 和 email 作为参数，而是改成使用输入参数 UserInput。.../schema.graphql').toString(); const resolvers = require('.

941 0

如何使用GraphQL进行前端数据交互

首先，让我们来谈谈人民币对美元即期汇率升破7这个焦点话题。嗯，这个问题可不简单啊！就像我每天早上起床一样，看到这个消息的时候，我简直不敢相信自己的眼睛！...人民币对美元竟然升破7了！这简直是世界末日！”有人甚至开始疯狂囤积美元，生怕一不小心就被人民币吞噬了。但是，让我们冷静一下，深入分析一下这个现象。...为什么人民币对美元即期汇率升破7会引起如此大的轰动呢？其实，这背后有着很多复杂的原因。一方面，全球经济形势不稳定，贸易战的阴云笼罩着世界各国，这导致了投资者对人民币的信心下降。...我可以为您提供一个简短的示例，展示如何使用GraphQL进行前端数据交互，我们就以人民币对美元期汇率升破7的相关数据来示例下：import requests# 代理服务器(产品官网 www.16yun.cn...虽然人民币对美元即期汇率升破7的消息让人们感到不安，但是在编程世界里，我们可以通过使用GraphQL来轻松解决前端数据交互的问题。

2812 0

GraphQL 的入门指南

现在，作者认为 GraphQL 是构建 Api 的最佳方式。这篇文章将告诉你为什么要学习了解一下 GraphQL。...GraphQL是强类型的，通过它，可以在执行之前验证 GraphQL 类型系统中的查询，它帮助我们构建更强大的 Api。...这是对 GraphQL 的基本介绍——为什么它这么强大，为什么它现在这么流行。如果你想了解更多关于它的信息，可以访问 GraphQL网站学习。...例如，如果你正在构建一个社交媒体应用程序，那么你的 API 应该具有诸如文章、用户、赞、组等类型。类型具有字段，这些字段返回特定类型的数据。...这就是为什么我们应该有一个 resolvers.js 文件。该文件告诉 GraphQL 它将如何以及在何处获取数据。

2K3 0

GraphQL是API的未来，但它并非银弹

GraphQL 完全不能解决版本控制问题。相反，我认为它实际上使情况变得更糟。你必须支持移动应用程序吗？你应该意识到，发布原生应用需要时间。...此外，你还可以描述查询参数的确切类型和验证规则，这是 GraphQL 所没有的特性。 GraphQL 无法描述身份验证、授权和输入验证。...当我们讨论 GraphQL 中的类型安全时，其实我们的意思是，我们相信 GraphQL 服务器的行为会与自省查询响应保持一致。为什么我们不能同样信任接口定义规范呢？我想我们可以。...另一方面，OAS 内置支持记录示例用例、身份验证和授权以及输入验证规则。请记住，GraphiQL 本身没有多 GraphQL 模式的概念。...11 我的结论当 Kyle 问“为什么要用 GraphQL”时，我想他实际上是在说“为什么要用 Apollo”。答案很简单。没有人愿意围绕 REST API 构建一个丰富的生态系统。

2K1 0

构建下一代 HTTP API - 总览

为什么选用 OpenAPI？下一步 Quenya 会怎么做？...Virtualization 当我们构建好一个可运行的 API 系统时，除了 unit testing 覆盖每个 API 的输入输出和基本功能，integration testing 覆盖每个 API...为什么选用 OpenAPI？...API 的输入输出必须有严格的 schema 去保证类型安全。只要有可能，就自动生成而不是手工撰写代码和文档。这对服务端代码和客户端 SDK 都适用，也适用于各种类型的测试。...但 GraphQL 的 API 设计破坏了 HTTP 的生态圈的很多共识，比如： GraphQL 所有请求都是 POST，这破坏了整个 HTTP 缓存的生态所有响应都是 200 OK，这破坏了 HTTP

5903 0

使用 GraphQL 和 Ballerina 操作多个数据源

支持基于模式和类型系统的开发方式 GraphQL 有一个强大的类型系统，可用于定义通过 API 公开出来的数据，所有这些类型都可以使用 GraphQL 模式定义语言（SDL）写到模式中。...为什么选择 Ballerina 你可以使用任何流行的编程语言来构建 GraphQL 应用程序，如 Go、Java、Node.js 等。...;}; 创建服务对象 Ballerina 记录类型和服务类型都可以作为 GraphQL 的对象类型。...记录的字段被映射到 GraphQL 对象的字段，记录字段的类型被映射到 GraphQL 对应字段的类型。...服务类型中的每一个资源方法表示 GraphQL 对象的一个字段，资源方法可以有输入参数，这些输入参数被映射到相应字段的参数。

2.4K2 0

GraphQL 浅谈，从理解 Graph 开始

GraphQL 的特性它定义了一套类型系统( )，类似于持续演进(相互借鉴)的和，用来描述你的数据，先看官网的例子(细节再议) 接下来你可以把的查询语言( )当成是没有值只有属性的对象，...虽然 project 在类型系统里定义了三个字段，但我们(客户端)只需要 tagline 这个字段，服务端就只返回这个字段，而 contributors 里的 User 和其对应字段，本次查询( )并不关心...这个 demo 看似简单，其实带来了很多特性~ 强类型：与 C 和 Java 等后端语言相得益彰，服务端能对响应的形状和性质做出一定保证，而是弱类型的，缺少机器可读的元数据；分工：让服务端定义好支持哪些...后一个工具可把笔者惊艳坏了，想了解它的生态可以在 awesome-graphql 里寻找。通过它们，所有人都能快速阅读查询文档，调试我们的查询。...真实世界的数据在本质上是分层的：今天大多数的产品开发涉及视图层次的创建和操作，这与应用程序的结构保持一致；我们的开发模式本身也是产品需求驱动的，客户端关注需求(怎么取、取哪些)，服务端关注能力(可用性

1.4K9 0

【译】如何在 Node.js 中创建安全的 GraphQL API

GraphQL 比 REST 更好吗？ 为什么使用 Node.js？...它可能会拥有可靠的、可维护的和可扩展的 API，以及可以为多种客户端和前端应用程序提供服务。那什么是 GraphQL API？...你可以传递一个对象的类型，并且定义所希望返回的字段类型。...REST - A GraphQL Tutorial。 为什么使用 Node.js？ GraphQL 有几种不同的库可供我们实用。...现在我们可以尝试通过以下方式来调试我们的 GraphQL 应用程序： http://localhost:3000/graphql ?

2.5K2 0

GraphQL详解

修改旧接口删除冗余数据的方案往往开发人员不会选择，这是为什么呢？...GraphQL本质上是一种基于api的查询语言，现在大多数应用程序都需要从服务器中获取数据，这些数据存储可能存储在数据库中，API的职责是提供与应用程序需求相匹配的存储数据的接口。...输入类型（Input Types）：更新数据时有用，与常规对象只有关键字修饰不一样，常规对象时 type 修饰，输入类型是 input 修饰。...比如定义了一个输入类型：前端发送变更请求时就可以使用（通过参数来指定输入的类型）：所以，这样面向对象的设计方式，真的对后端开发人员特别友好！...Graphcool (github): 一个 BaaS（后端即服务），它为你的应用程序提供了一个 GraphQL 后端，且具有用于管理数据库和存储数据的强大的 web ui。

2.5K0 0

什么是GraphQL？【Programming】

Graphql是一种查询语言语法，一种与编程语言无关的执行引擎，以及一个不断发展的规范。让我们来深入了解GraphQL是如何具备所有这些特性的，并且了解一下为什么人们对它如此热爱。...Graphql模式是一种自定义类型化语言，它公开哪些查询是允许的（有效的），并由GraphQL服务器实现处理。...客户机可以通过用户查询请求用户的任何字段，而GraphQL服务器将在其响应中只返回这些字段。通过使用强类型模式，GraphQL服务器可以验证传入的查询，以确保它们基于已定义的模式是有效的。...一旦查询被确定为有效，解析器将对它进行GraphQL服务器处理。一个解析器函数回退每个GraphQL类型的每个字段。...GraphQL已经开始改变公司对构建客户端和API应用程序的看法。

8720 0

GraphQL 初体验，Node.js 构建 GraphQL API 指南

为什么选择 GraphQL 与任何技术决策一样，了解 GraphQL 为你的项目提供了哪些优势是很重要的，而不是简单地因为它是一个流行词而选择它。...如果你不确定应用程序的需求以及将来如何存储数据，则 GraphQL 在这里也很有用。要修改查询，你只需要添加所需字段的名称，这极大简化了随着时间推移而发展你的应用程序的过程。...我们还需要定义一个类型，这是我们 GraphQL API 的入口点。...在左侧窗格中，你可以输入所需要的任何有效 GraphQL 查询，而在右侧获得结果。...GraphQL 的类型功能会给查询过程提供严格的校验，你甚至可以尝试请求不存在的字段。

8.3K4 0

我为什么要放弃RESTful，选择拥抱GraphQL

修改旧接口删除冗余数据的方案往往开发人员不会选择，这是为什么呢？...GraphQL本质上是一种基于api的查询语言，现在大多数应用程序都需要从服务器中获取数据，这些数据存储可能存储在数据库中，API的职责是提供与应用程序需求相匹配的存储数据的接口。...输入类型（Input Types）：更新数据时有用，与常规对象只有关键字修饰不一样，常规对象时 type 修饰，输入类型是 input 修饰。...比如定义了一个输入类型：前端发送变更请求时就可以使用（通过参数来指定输入的类型）：所以，这样面向对象的设计方式，真的对后端开发人员特别友好！...Graphcool (github): 一个 BaaS（后端即服务），它为你的应用程序提供了一个 GraphQL 后端，且具有用于管理数据库和存储数据的强大的 web ui。

2.4K4 0

防止你的GraphQL API被恶意查询

查询白名单我们考虑的第二种方法是在我们自己的应用程序中使用已批准查询的白名单，告诉服务器除了名单里的查询外，禁止任何其他的查询。...如果我们只通过查询白名单，已经严重限制了他们的选择，并且破坏了拥有GraphQL API的重要性。那些限制是我们无法使用的，所以我们得重新设计。...（尽管DataLoader可能会缓解数据库压力，但网络和处理压力不会）我们没有将第一个参数的类型设置为Int（允许任意数量），而是使用graphql-input-number创建了一个自定义标量，该标量将最大值限制为...查询成本分析不幸的是，在正确的条件下仍然有可能压倒服务器：有一些特定于应用程序的查询既不太深也不要求太多的对象，但仍然非常耗时。 ...也就是说，也许graphql-validation-complexity对你来说已经足够了，试试吧！它的工作方式是指定解析特定字段或类型的相对成本。

1.8K1 0

GraphQL

修改旧接口删除冗余数据的方案往往开发人员不会选择，这是为什么呢？...GraphQL本质上是一种基于api的查询语言，现在大多数应用程序都需要从服务器中获取数据，这些数据存储可能存储在数据库中，API的职责是提供与应用程序需求相匹配的存储数据的接口。...输入类型（Input Types）：更新数据时有用，与常规对象只有关键字修饰不一样，常规对象时 type 修饰，输入类型是 input 修饰。...比如定义了一个输入类型：前端发送变更请求时就可以使用（通过参数来指定输入的类型）：所以，这样面向对象的设计方式，真的对后端开发人员特别友好！...Graphcool (github): 一个 BaaS（后端即服务），它为你的应用程序提供了一个 GraphQL 后端，且具有用于管理数据库和存储数据的强大的 web ui。

2.6K6 5

为什么我劝你放弃了Restful API？

修改旧接口删除冗余数据的方案往往开发人员不会选择，这是为什么呢？...GraphQL本质上是一种基于api的查询语言，现在大多数应用程序都需要从服务器中获取数据，这些数据存储可能存储在数据库中，API的职责是提供与应用程序需求相匹配的存储数据的接口。...输入类型（Input Types）：更新数据时有用，与常规对象只有关键字修饰不一样，常规对象时 type 修饰，输入类型是 input 修饰。...比如定义了一个输入类型：前端发送变更请求时就可以使用（通过参数来指定输入的类型）：所以，这样面向对象的设计方式，真的对后端开发人员特别友好！...Graphcool (github): 一个 BaaS（后端即服务），它为你的应用程序提供了一个 GraphQL 后端，且具有用于管理数据库和存储数据的强大的 web ui。

2.7K2 0

GraphQL Federation：您平台战略中缺失的 API

在 ChatGPT 使“ AI 功能” 突然成为每个应用程序的必需品一年半后，现在出现了无数的“AI 基础设施即服务”公司。但是，云原生架构的关键要素：API 呢？...它的工作原理如下：后端开发人员将各个 GraphQL API 贡献给超图，该超图将类型及其关系定义为模式。一个称为组合的过程，将这些子图模式组合成一个统一模式，可以自动或手动完成。...只需使用内省即可查看可用的数据，描述应用程序所需的数据，然后就可以开始竞赛了。减少技术债务：你知道什么比为单个界面编写后端到前端花费更多时间吗？编写 50 个后端到前端。...GraphQL 可以服务于任意数量的应用程序，因此不必为每个应用程序编写或维护 BFF。提高应用程序的一致性：当类型及其关系在 API 本身中明确定义时，确保跨界面的一致性所需的工作就更少了。...下载“API 的平台工程”白皮书，了解为什么 GraphQL 正迅速成为 API 平台团队采用的语言，以提高开发人员效率和速度。

660 0

「首席架构师推荐」React生态系统大集合

react-virtualized - 用于有效渲染大型列表和表格数据的React组件 react-window - 用于有效渲染大型列表和表格数据的React组件 react-text-mask - React的输入掩码...的表单生成器 plexus-form - 使用JSON-Schema进行React的动态表单组件 tcomb-form - 用于开发表单编写较少代码的UI库 formsy-react - React JS的表单输入构建器和验证器...允许您编写简单，快速且类型安全的代码并轻松管理React状态。...将您的应用程序从Redux重构为MobX Redux或MobX：尝试解散混乱 GraphQL 查询语言 GraphQL规范 GraphQL官方网站 GraphQL规范 GraphQL规范库 GraphQL...Christopher Chedeau：为什么React Scale？

12.3K3 0

PayPal大规模采用GraphQL的探索和实践

如今，PayPal 的多个生产应用程序都在使用 GraphQL。现在，使用 GraphQL 构建新的 UI 应用程序已经成为默认模式。许多现有应用程序正在迁移到 GraphQL。...我们正朝着统一的 GraphQL 网关迈进，以支持整个公司。 2 为什么 PayPal 需要 GraphQL?...图片来源：drmakete lab on Unsplash 3 为什么我们开始采用 GraphQL？ PayPal 有一套庞大的 REST API，支持应用程序核心功能，并且非常靠近数据库。...这些标准定义了命名约定、GraphQL 类型、请求头标准、指令标准和异常处理技术。所有 GraphQL 操作都需要指定特殊指令，这些指令描述查询、突变和字段的所有授权要求。...我们希望提供一个统一的入口点，共同管理 schema，以全局方式对数据建模，并提供一种重用类型的方式。这就是促使我们使用 Apollo Federation 构建了一个单图网关的原因。

3K2 0

如何使用 Nx、Next.js 和 TypeScript 构建 Monorepo

Monorepo 是什么，为什么我们应该考虑使用它一个monorepo是包含应用程序，工具和多个项目或项目部分的结构的单一存储库。它是为每个项目或项目的一部分创建单独存储库的替代方法。...当我们运行上述命令时，我们将获得一组步骤，这些步骤将创建我们想要使用 Nx 创建的应用程序类型。第 1 步：它首先会询问我们要创建什么类型的应用程序。我们将从选项列表中选择 Next.js。...第 2 步：它会询问我们要创建的应用程序的名称。我们可以称之为任何东西。在这种情况下，我们将其命名为“product-hunt”。第 3 步：它会询问我们想要使用什么类型的样式表。...NEXT_PUBLIC_PH_TOKEN= 由于 Product Hunt API 在 GraphQL 中，我们必须安装一些包才能使我们的应用程序与 GraphQL...GraphQL上下文提供通过包装我们的应用程序与ClientContext.Provider。

5.5K5 1

初步接触GraphQL

GraphQL 什么是GraphQL Facebook开源的一个数据查询语言 1、GraphQL是一门语言，有自己的语法，这点和其他编程语言是类似的 2、GraphQL是一个runtime，可以认为它是一个运行在服务器上的可以理解和响应使用...GraphQL语言的请求应用程序，类似一个服务端的GraphQL翻译 GraphQL的意义 RESTful Api的弊端随着应用的扩展，被逐渐放大，比如接口调用次数增多，耗时太长。...所以GraphQL的出现是为了更好的降低数据之间的网状关系带来的开发复杂度。...如何使用一个简单的GraphQL的语法案例如下，就是一个输入格式如下（不是JSON） { user(id: 42) { firstName...内置一些基础数据类型，然后可以自定义复杂数据类型，数据类型之间可以互相嵌套和引用，这就可以组成可配置的数据结构 GraphQL是一门强类型的语言，每个字段都必须要要有严格的格式约束这门语言有很多种编程语言的实现

5363 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭