功能:
访问控制
访问控制
GraphQL 端点可以返回通过模式访问的任何数据,这可能使恶意行为者能够获取私密信息。因此,我们必须实施安全措施来保护数据。
访问控制
通过访问控制列表,我们可以定义谁可以访问模式中的每个操作、字段和指令:
- 对所有人禁用访问
- 如果用户已登录或已登出,则授予访问权限
- 如果用户拥有某个角色,则授予访问权限
- 如果用户拥有某项能力,则授予访问权限
- 如果访客来自某个 IP 或 IP 范围,则授予访问权限
公开/私有模式
当没有某个字段或指令访问权限的用户尝试访问它时,应该发生什么?
通过公开/私有 API 模式,我们可以控制所需的行为。
在公开 API 中,模式中的字段是公开的,当权限不满足时,用户会收到一条错误消息,说明权限被拒绝的原因。
在私有 API 中,模式针对每个用户进行自定义,仅包含该用户可用的字段,因此当尝试访问被禁止的字段时,错误消息会显示该字段不存在。
