GraphQL 查询复杂度分析工具使用教程
项目介绍
GraphQL 查询复杂度分析工具是一个用于评估和限制 GraphQL 查询复杂度的开源项目。通过为每个字段定义一个“成本”,并分析抽象语法树(AST)来估计查询的总成本,这个工具可以帮助保护 GraphQL 服务器免受资源耗尽和拒绝服务(DoS)攻击。
项目快速启动
安装
首先,你需要安装 graphql-query-complexity 包:
npm install graphql-query-complexity
配置
在你的 GraphQL 服务器中集成 graphql-query-complexity。以下是一个使用 Apollo Server 的示例:
const { ApolloServer, gql } = require('apollo-server');
const { getComplexity, fieldExtensionsEstimator, simpleEstimator } = require('graphql-query-complexity');
const typeDefs = gql`
type Query {
hello: String
}
`;
const resolvers = {
Query: {
hello: () => 'Hello world!',
},
};
const server = new ApolloServer({
typeDefs,
resolvers,
plugins: [
{
requestDidStart: async () => ({
didResolveOperation({ request, document }) {
const complexity = getComplexity({
schema: server.schema,
operationName: request.operationName,
query: document,
variables: request.variables,
estimators: [
fieldExtensionsEstimator(),
simpleEstimator({ defaultComplexity: 1 }),
],
});
if (complexity > 10) {
throw new Error(`Sorry, too complicated query! ${complexity} is over 10 that is the max allowed complexity.`);
}
console.log("Used query complexity points:", complexity);
},
}),
},
],
});
server.listen().then(({ url }) => {
console.log(`🚀 Server ready at ${url}`);
});
应用案例和最佳实践
应用案例
假设你有一个包含多个字段的复杂 GraphQL 查询,你可以使用 graphql-query-complexity 来限制每个用户的查询复杂度,从而防止恶意用户发送过于复杂的查询导致服务器过载。
最佳实践
- 定义合理的复杂度:为每个字段定义一个合理的复杂度值,确保不会过于严格或过于宽松。
- 动态调整复杂度:根据业务需求和系统负载动态调整复杂度限制。
- 错误处理:当查询复杂度超过限制时,提供友好的错误信息,并记录相关日志以便后续分析。
典型生态项目
TypeGraphQL
TypeGraphQL 是一个用于构建 GraphQL 模式的库,它支持与 graphql-query-complexity 集成,使得在 TypeScript 项目中更容易实现查询复杂度分析。
Apollo Server
Apollo Server 是一个流行的 GraphQL 服务器实现,它支持插件机制,可以方便地集成 graphql-query-complexity 进行查询复杂度分析。
通过以上步骤和示例,你可以快速集成和使用 graphql-query-complexity 工具来保护你的 GraphQL 服务器免受复杂查询的攻击。
扫一扫
885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
