Контроль доступа

Эндпоинт GraphQL, способный возвращать любые данные, доступные через схему, потенциально может позволить злоумышленникам получить конфиденциальную информацию. Поэтому необходимо внедрить меры безопасности для защиты данных.

​

Контроль доступа

С помощью списков контроля доступа можно определить, кто имеет доступ к каждой операции, полю и директиве в схеме:

• Отключить доступ для всех
• Предоставить доступ, если пользователь вошёл в систему или вышел из неё
• Предоставить доступ, если пользователь имеет определённую роль
• Предоставить доступ, если пользователь имеет определённые возможности
• Предоставить доступ, если посетитель обращается с определённого IP-адреса или диапазона IP

​

Публичная/приватная схема

Что должно происходить, когда пользователь без доступа к какому-либо полю или директиве схемы пытается обратиться к нему?

С помощью режима публичного/приватного API можно управлять желаемым поведением:

В публичном API поля схемы открыты, и когда разрешение не выполнено, пользователь получает сообщение об ошибке с описанием причины отказа.

В приватном API схема настраивается индивидуально для каждого пользователя и содержит только поля, доступные ему, поэтому при попытке обратиться к запрещённому полю сообщение об ошибке указывает, что такое поле не существует.