在热巧克力graphql中审计查询的正确位置

在热巧克力GraphQL中，审计查询的正确位置是在服务器端。审计查询是指对系统中的操作进行记录和监控，以便追踪和审查系统的使用情况和安全性。

将审计查询放在服务器端有以下几个优势：

数据安全性：将审计查询放在服务器端可以确保审计日志的完整性和安全性，防止恶意用户篡改或删除审计记录。
系统性能：服务器端可以更好地管理和优化审计查询的执行，减少对客户端的影响，提高系统的整体性能。
统一管理：将审计查询放在服务器端可以实现对整个系统的统一管理和监控，方便管理员进行审计日志的查看和分析。
隐私保护：服务器端可以对敏感信息进行脱敏处理，保护用户隐私。

在热巧克力GraphQL中，可以使用腾讯云的云原生产品来支持审计查询的实现。腾讯云的云原生产品提供了一系列的容器化、微服务化的解决方案，可以帮助开发者快速构建和部署应用程序，并提供了丰富的监控和日志管理功能。

推荐的腾讯云相关产品是腾讯云容器服务（Tencent Kubernetes Engine，TKE）。TKE是腾讯云提供的一种高度可扩展的容器管理服务，支持将应用程序容器化，并提供了完善的监控、日志和审计功能。您可以通过以下链接了解更多关于腾讯云容器服务的信息：腾讯云容器服务产品介绍

总结：在热巧克力GraphQL中，审计查询的正确位置是在服务器端。腾讯云的云原生产品腾讯云容器服务（TKE）可以支持审计查询的实现。

相关·内容

【LeetCode热题100】【二分查找】在排序数组中查找元素的第一个和最后一个位置

在排序数组中查找元素的第一个和最后一个位置 - 力扣（LeetCode）先用二分找到元素的位置，然后往前找第一次出现的位置，往后找最后一次出现的位置 class Solution { public:

851 0

数据流动方式迭代：Netflix Studio 的 Data Mesh 实践

Netflix Studio 应用程序通过 Studio Edge 发布 GraphQL 查询，后者是一个连接 Netflix Studio 中的所有数据并提供一致性数据检索的统一 Graph。...CDC 事件被传递到 Data Mesh 扩展处理器中，该处理器向 Studio Edge 发出 GraphQL 查询以扩充数据。...比如，可以配置一个 GraphQL 丰富处理器来查询 GraphQL 服务，以丰富不同管道中的数据；Iceberg sink 处理器可以多次初始化，以将数据写入到具有不同模式的不同数据库 / 表中。...我们还对 Data Mesh 管道生成的数据表进行了两种类型（端到端审计、人工综合事件审计）的审计，以保证数据质量。在 Iceberg 表上创建的大多数业务视图可以容忍几分钟的延迟。...审计的相等性检查（即查询结果应该相同），在多次运行中两个数据集之间的对称差异应该为空，并且在 SLA 内应该最终一致性。

1K2 0

「web应用架构」有原则GraphQL

有关废弃字段的信息可以传播到使用这些字段的开发人员的编辑器中，并提供建议的替代方案根据实时生产数据，在开发人员输入查询时，可以向他们显示查询的估计成本(以延迟或服务器资源计算)。...，因为开发人员正在他们的IDE中输入查询自动检测生产中的问题(如增加的延迟或错误率)并诊断其根本原因提供权威的审计跟踪，显示哪些用户访问了特定的记录为商业智能查询提供支持(当天气炎热时，人们会在自己所在的地方更频繁地搜索冰激凌吗...根据API使用情况为合作伙伴生成发票，可以根据访问的特定字段或消耗的资源创建详细的成本模型所有图形操作的跟踪应该集中在一个中心位置，这样就有了一个权威的跟踪流。...将GraphQL层与服务层分离采用分层架构，将数据图功能分解为单独的层，而不是整合到每个服务中。在大多数API技术中，客户机不直接与服务器通信，除非在开发中。...取而代之的是一种分层的方法，其中将一些问题(如负载平衡、缓存、服务位置或API密钥管理)分解为单独的一层。然后，可以将此层与后端服务分开设计、操作和伸缩。 GraphQL也不例外。

7241 0

GraphQL 到底有什么魔力？

他们这样做了, 并且很好用, 这项技术在 facebook 内部沉淀了三年, 在2015年, facebook 公开发布了 GraphQL。...聚合能力在 rest api 上获取多个资源时, 通常要进行多次url请求, 而使用 GraphQL 的查询功能, 一次请求就可以获取多个资源, 这正是 GraphQL 的数据聚合能力。...•文件上传上传文件对于 GraphQL 确实是个大难题, 规范中并没有提到这个, 一种方式是一些 GraphQL 的库自己实现了上传功能，另一个方法就是用单独的程序使用Http的方式提供上传功能。..., 热可可（GraphQL Server, 草莓奶昔（GraphQL Client）, 绿色甜甜圈（DataLoader）, 香蕉蛋糕（GraphQL IDE）。...总结 GraphQL 起初是为移动应用构建的, 和 rest api 不一样的是, 它有出色的数据聚合能力和查询能力, 在处理复杂的页面以及需求快速迭代的场景时, 不过是探囊取物。

5183 0

GraphQL 从入门到实践

GraphQL 的操作类型可以是 query、mutation 或 subscription，描述客户端希望进行什么样的操作 query 查询：获取数据，比如查找，CRUD 中的 R mutation...对象类型：用户在 schema 中定义的 type 标量类型：GraphQL 中内置有一些标量类型 String、Int、Float、Boolean、ID，用户也可以定义自己的标量类型比如在 Schema...graph-pack 是集成了 Webpack + Express + Prisma + Babel + Apollo-server + Websocket 的支持热更新的零配置 GraphQL 服务环境...3.2 Query 首先我们来试试 hello world，我们在 schema.graphql 中写上 Query 的一个入口 hello，它接受 String 类型的返回值 # src/schema.graphql...---- 网上的帖子大多深浅不一，甚至有些前后矛盾，在下的文章都是学习过程中的总结，如果发现错误，欢迎留言指出~ 参考： GraphQL | 一种为你的 API 而生的查询语言 JSON-RPC

2.5K3 1

安全地将 Netflix 迁移到 GraphQL

我们知道我们可以使用相同的查询和相同的输入进行测试，并始终期望得到相同的结果。对于请求非幂等字段的 GraphQL 查询或变更，我们无法进行 Replay 测试。...迁移的下一个阶段是在一个以 GraphQL 为主的服务器（Video API Service）中重新实现我们现有的 Falcor API。...我们开发了一个 Replay 测试工具，以验证幂等的 API 是否从 GraphQL Shim 正确迁移到 Video API 服务中。它是如何工作的？...手动构建的查询只能测试开发人员记得测试的功能。由于遗忘，我们最终会有一些未经测试的字段。正确性：正确性的概念也可能令人困惑。例如，对于一个数组来说，空数组更正确还是 null 更正确，或者只是噪音？...最终，我们尽可能与现有行为保持一致，因为验证客户端错误处理的鲁棒性很困难。尽管存在这些缺点， Replay 测试仍然是我们实现大多数幂等查询的功能正确性的关键指标。

1313 0

API NEWS | Jetpack WordPress插件存在API漏洞

创新保护：2023年应对API安全漏洞的前沿策略在本周讨论API安全挑战的两篇文章中的第一篇中，介绍了Katrina Thompson的想法。作者强调了API在构建当今数字基础设施方面的重要性。...速度超过安全：与API代码中的错误主题相结合的是偏爱速度而不是安全性的主题。在许多情况下，业务需求往往占主导地位，API团队在充分验证安全性之前发布API。...安全审计和代码审查：进行定期的安全审计和代码审查，检查潜在的漏洞和安全隐患；修复发现的问题，并确保API的代码质量和安全性。...在大规模确保API安全方面，关键是确保以自动化方式监控API，并尽量减少对手动发现和审计API的依赖。...这可以使用Burp Suite手动完成，也可以通过将通用查询发送到常见的GrahpQL API端点来完成，如下所示：/graphql/api/api/graphql/graphql/api/graphql

2353 0

针对复杂图像分类场景：使用物体探测（第一部分）

仅仅三年之后，我们不仅可以确定图片是否包括鸟类，我们还可以告诉你鸟的种类，这只鸟在图片中的位置，并实时追踪鸟类的迁徙模式。...一年多以前，微软与中欧和东欧的一家大型糖果产品制造商合作，建立了一个机器学习模型，用于验证经销商是否正确地存放巧克力。我们合作的公司拥有遍布14个国家的大型连锁超市分销网络。...每个经销商都要根据标准政策在其展台上摆放巧克力。每一项政策都描述了给定巧克力应该放在什么架子上，以及应该按什么顺序存放。 image.png 执行这些政策的“常规”审计活动需要巨大的成本。...我们的合作伙伴希望开发一个系统，在这个系统中，审核员或商店经理可以拍照，并立即得知货架是否正确存放，如上图所示。...image.png 图像识别模型很难知道这个图像没有巧克力 第1部分 # 系列挑战在本系列中，我们将构建一个类似于上述场景的复杂策略分类器。要有效存储图像，必须按以下顺序存储。

7173 0

API NEWS | 三个Argo CD API漏洞

当遵循GitOps部署模式时，Argo CD可以轻松定义一组应用程序，它们在存储库中具有所需的状态以及它们应该部署的位置。部署后，Argo CD会持续监控状态，甚至可以捕捉配置漂移。...Argo CD软件中存在一个漏洞，会使得恶意用户在没有得到授权的情况下，在系统允许范围外部署应用程序。这个漏洞只影响启用了“任何命名空间中的应用程序”功能的用户，并且从2.5.0版本开始就存在。...随着API在现代应用程序中的广泛使用，攻击者越来越频繁地利用API漏洞来入侵系统。因此，保护API已经成为任何组织安全策略中的至关重要的一部分，需要采取安全措施和最佳实践来确保数据和系统的安全。...从安全角度来看，特别值得注意的是GraphQL，它允许跨数据进行深入且广泛的查询，因此很难分辨要保护什么数据。另外，GraphQL也是无状态显示的，因此安全团队必须正确实施身份验证和授权。...可扩展性：分布式标识必须是可扩展的，在系统规模扩大的情况下，它能够无缝地融入到整个系统中，以满足业务需求。

3183 0

Spring Boot GraphQL 实战 03_分页、全局异常处理和异步加载

} 对应的 Java Bean 就不在这里赘述了，读者感兴趣的话可以自行查询小黑同学上传在 github 上的源码。...GraphQL 游标分页是 Relay 风格式的，更多规范信息可以查阅：https://relay.dev/graphql/connections.htm Connection 对象在 Relay 分页查询中...：指定的游标位置向后分页，在向后分页中，也有两个必要参数： last ：指定取游标前的多少个数据 before：与 last 搭配使用，用来指定游标位置 type Query{ students...的一系列注解可以帮我们完成参数校验，那在 GraphQL 中能否也使用 javax.validation 来进行参数合法性校验呢？...在 graphql-spring-boot 框架中也添加了对该注释的支持，用于以将异常转换为有效的 GraphQLError 对象。

2.1K1 0

基于场景选择微服务的API范式：REST、GraphQL、Webhooks和gRPC

遵循标准的HTTP表达范式的GET方法恰如其分的完成了其检索资源的使命。在本例中，资源被明确定义为“activities”，并允许指定时区和页码的查询需求。...正因为如此，GraphQL在一些特定的用例中更加适用，在这些场景中，需要更明确的数据类型定义，并且倾向于使用较小的数据包来进行传输。有人说，GraphQL的好处往往被夸大了。...实际上解答了很多现有文章对于REST和GraphQL的误解。一般认为，REST的多端点特性需要进行API的组合以及多次HTTP请求才能完成GraphQL一次完成的查询。...事实上，由于HATEOAS的存在，REST可以通过在返回的资源中引入链接的概念，就可以完成类似GraphQL一样的批量查询，包括客户端智能的根据服务端资源的反馈来确定下一步应该如何动作。...因此，做好功课，并从一开始就选择正确的方法，以获得一些真正的收益。你的代码将更加简洁，响应性更强，并且适合当前的情况。

2.6K3 0

渗透中遇到GraphQL怎么搞？

这得归功于graphql的面向对象思想在graphql中，所有的数据形成了一张彼此相互关联的“图”，此处的“图”是指数据结构中的“图” 怕大家忘了啥是图，贴一张图回忆回忆 ?...实际上还是借助了面向对象的思想，graphql把每一种数据都给抽象成了一个类，例如咱们上面提到的两个接口，在graphql中，这两个接口背后对应的数据就可以被抽象为Book类以及Author类但是，这里说的类只是一个概念...，区别于咱们编程语言中的类，与其说它是一个类，不如说它是一个结构，在Graphql中，Book类可以这样描述 type Book { id: ID name: String pageCount...（但是业务上对大小写进行了不正确的转换就另说了）自动绑定自动绑定原理其实很简单，和spring中的自动绑定机制有点类似，就是如果我爆破出了你的敏感接口、以及对应的字段，我就可以直接使用，这本就是graphql...xee攻击：https://www.cnblogs.com/lcamry/p/5737318.html 鉴权不严鉴权问题是api通用的问题只是开发者在使用graphql的过程中更容易忽略对敏感接口进行细粒度的鉴权

3.2K4 1

「首席架构师推荐」React生态系统大集合

- 允许您检查React组件的所有道具的库 react-responsive - 媒体查询响应响应式设计 react-is-responsive - 一种在React中创建响应组件的实用程序 react-cursor...ClojureScript中的不可变数据库和Datalog查询引擎 immstruct - 不可变数据结构，具有基于组件的库（如React）中从上到下属性的历史记录 seamless-immutable...Redux或MobX：尝试解散混乱 GraphQL 查询语言 GraphQL规范 GraphQL官方网站 GraphQL规范 GraphQL规范库 GraphQL工具 GraphCMS - GraphQL...GraphQL教程 GraphQL简介关于GraphQL的第一个想法以类似的方式在GraphQL中建模查询 Thin and Graphy GraphQL概述 - GraphQL和Node.js入门...应用程序 - JSConfUS 2013 React：JS中的CSS Pete Hunt：可预测，不正确 - Mountain West JavaScript 2014 黑客方式：重新思考Facebook

12.3K3 0

如何优雅地扩展GraphQL系统能力

作者 | 杜艮魁编辑 | 蔡芳芳 1 背景为什么要扩展 GraphQL 系统能力 GraphQL 可将 API 表示的数据通过解析函数映射到 GraphQL 的 schema 中，为 API...在真实业务场景中，除了获取基础数据外，往往还会有一些对数据进行加工转换和编排控制的需求，例如对数值字段取精或者转换成展示文案、对列表字段进行排序过滤去重、根据条件判断是否请求查询中的某些字段、将一个字段的解析结果作为另外一个字段的入参等...{ experimentalField @skip(if: $someTest) } 在实际业务场景中，是否跳过某些字段获取的条件大多情况需要根据请求变量进行计算判断。...规范并不会限制指令只能定义在可执行位或者类型系统位，但是为了明确指令是用在查询上、还是对于类型系统生效，往往只将指令的生效位置限定在其中一种：对于可执行位指令，其作用往往跟业务场景相关。...GraphQL 的 Java 库提供了基于访问者模式实现的QueryVisitor ，可在其方法中获取到查询的字段、内联片段和片段定义的上下文信息，便于实现自定义的校验规则。

1.2K2 0

《GraphQL 名词 101：解析 GraphQL 的查询语法》【译】

但是在GraphQL操作中三种可选的部分都没有在上述栗子中使用。如果你不仅仅是用GraphQL执行查询操作，或是希望传递动态变量到GraphQL查询中，你就需要利用到这些新的GraphQL特性。...因为GraphQL是静态类型的，它可以实时验证你是否传递了正确的变量。这正是你声明变量类型时所计划提供的能力。...变量使用特定的序列化协议(在目前的 GraphQL 服务实现中，通常是使用JSON )通过查询文档独立传输。...如果你使用了正确的片段(fragments )名，在优化数据获取时，你能够很好的追踪你的代码。...指令(Directive): 在字段、片段或者查询中的一个注释，include 指令表示只有在 if 参数为 true 时才引入片段表示的字段。

2.8K2 0

设计通过 POST 获取数据的 API 时需要注意的问题

"> 不支持其他方法，在传统网站中可能会用 POST 处里除了获取数据之外的所有事情。...规范与实现在 HTTP 规范中提到要如何正确使用方法，如果我们没有按照规范实现，会造成一定的影响。...这时 GraphQL[5] 就应运而生了，这是由 Facebook 提出的开源语言标准，通过 Schema 定义资料，再依靠与 JSON 格式高度类似的查询语句取得查询的结果，它的主要特点是：強类型...查询语句即文件查询语句即响应的数据结构，不会有冗余的内容统一的对外入口可以多查询合并，一起返回这些特性有效的解决了 RESTful API 在复杂架构下的问题，使 GraphQL 充满弹性、非常好用...，社区也已经有了庞大的的生态系统支持，例如 Apollo GraphQL[6] 可以与三大框架深度整合，再加上多查询合并的特性，让 GraphQL 与现代框架中组件的概念完美契合。

1.6K3 0

如何在纯 JavaScript 中使用 GraphQL

这是因为许多教程和示例代码似乎都基于这样一个假设，也就是说如果你在使用 GraphQL，就需要使用这些库。但是，一个对 GraphQL API 的查询只不过是一个定制格式的 HTTP 请求而已。...由于 GraphQL 是通过单个端点运行的，因此端点响应的数据完全取决于你的查询。这个查询需要正确格式化 GraphQL。想知道如何构建查询吗？请查阅关于如何编写 GraphQL 查询的教程。...在本教程中，我们将介绍我在 StepZen 上创建的一个简单的 Scooby DooAPI，它用来连接到一个 MySQL 数据源（StepZen 现在处于私有 alpha 状态，但是你可以在此处请求访问...我们来看一个不使用特殊库的简单示例（请注意，我确实使用了 dotenv 来获取用于访问我 StepZen 后端的 API 密钥）。在这个示例中，我仅传递了一个 query，该查询在发送前需要字符串化。...然后它会获取结果并将其显示在浏览器中。尽管这对 GraphQL 调用来说并不重要，但我使用 js-beautify 正确格式化了要显示的 JSON 结果，然后使用 Prism 给它上了色。

3.4K1 0

什么是GraphQL？【Programming】

它是一种类似SQL的查询语言吗？像JVM这样的执行引擎？像XML这样的规范？如果你回答了以上所有的问题，那么你是正确的！...查询语言 Graphql 作为一种查询语言似乎是合理的——“ QL”似乎非常重要，因此名字中也有它的名字。但我们在质疑什么呢？查看样例查询请求和相应的响应可能会有所帮助。...客户机可以通过用户查询请求用户的任何字段，而GraphQL服务器将在其响应中只返回这些字段。通过使用强类型模式，GraphQL服务器可以验证传入的查询，以确保它们基于已定义的模式是有效的。...(args.id).then( userData => new User(userData) ) } } 虽然上面的例子是在JavaScript中，但是GraphQL服务器可以用任意数量的语言编写...由于GraphQL提供了抽象，因此系统团队可以进行这些更改，同时继续在GraphQLAPI级别上遵守GraphQL的“合同”。

8680 0

基于 actix、async-graphql、rbatis 构建异步 Rust GraphQL 服务（2）- 查询服务

下面代码中，注意变更 EmptyMutation 和订阅 EmptySubscription 都是空的，甚至 mutations.rs 文件都是空白，未有任何代码，仅为验证服务器正确配置。...在左侧输入： query { add(a: 110, b: 11) } 右侧的返回结果为： { "data": { "add": 121 } } 基础的 GraphQL 查询服务成功...增加 users 模块，及分层阐述一个完整的 GraphQL 查询服务，在本应用项目——注意，非 actix-web 或者 GraphQL 技术分层——我们可以简单将其分为三层： actix-web...调用； services：负责执行具体的查询服务，从 MySql 数据表获取数据，并封装到 model 中；基于上述思路，我们想要开发一个查询所有用户的 GraphQL 服务，需要增加 users 模块...最后，我们来执行 GraphQL 查询，看看是否取出了 MySql 中 user 表的所有数据。

2.3K2 0

在 redux 应用中使用 GraphQL

在开始本教程之前，请确保：了解基本的 GraphQL 查询——如果 GraphQL 对您来说完全是陌生的，您需要先学习此教程。...在该页您可以看到一个如下 GraphQL 界面： ? GraphiQL 允许您测试不同的查询，并立即看到从服务器获得的响应。...这样我们就把一个 GraphQL 客户端添加进了一个普通的 Redux 应用中。接下来让我们开始第一个 GraphQL 查询吧。 4....增加 mapQueriesToProps() 并且定义一个能够获取作者信息的 GraphQL 查询。注意，这个查询语句其实和我们之前在 GraphIQL 界面上测试的语句是一样的。...在我们的 GraphQL 服务器中，并没有定义如何获取 authors。

1.9K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云