Nl
Так как приватный ключ всё равно на клиенте. )
Да, это сосвсем как-то бессмысленно, разве что от школьников, которые парсят сайты на фрилансе за еду))
Size: a a a
2018 July 02
АР
В общем, для начала тебе нужно выписать вообще все поля, которые есть в базе данных и будут в твоём API. Потом понять кто и при каких условиях какие поля может читать, писать, обновлять и удалять.
Nl
Конкретный список проблем, пожалуйста, в студию. )
Ну, абстрактно:
Пусть у нас найти пользователя по комментарию — нетривиальный и сложный запрос (мы плохие программисты, которые не смогли)
Тогда даже ограничив глубину можно сделать
user->commentar[]->user[]->commentary[]->user[]
Предположим, злобные хакеры посидели с профайлером и нашли наш сложный запрос
Двадцадь аккаунтов — пусть 60 запросов в секунду (то есть, даже по IP не залочить) — и всё, прод валяется у всех
Пусть у нас найти пользователя по комментарию — нетривиальный и сложный запрос (мы плохие программисты, которые не смогли)
Тогда даже ограничив глубину можно сделать
user->commentar[]->user[]->commentary[]->user[]
Предположим, злобные хакеры посидели с профайлером и нашли наш сложный запрос
Двадцадь аккаунтов — пусть 60 запросов в секунду (то есть, даже по IP не залочить) — и всё, прод валяется у всех
Nl
Входящей нагрузки нет, злоумышленник затерялся в общей массе, всё плохо
Nl
В общем, для начала тебе нужно выписать вообще все поля, которые есть в базе данных и будут в твоём API. Потом понять кто и при каких условиях какие поля может читать, писать, обновлять и удалять.
Да это-то да, в REST-то мы можем)
АР
Так подсчитывайте Cost и Complexity каждого запроса.
АР
Если больше порогового значения, не выполняйте.
АР
Подключите Apollo Engine, собирайте метрики. Смотрите, что происходит.
АР
Статья, которую я скинул, она об этом.
АР
Ребята из Spectrum Chat это юзают на продакшене.
2018 July 03
АР
Кстати, в Apollo Engine есть ещё кэширование.
АР
Чтобы не вычислять одно и то же каждый раз.
АР
А если юзать Prisma (https://prisma.io), то это вообще считай ORM, превращающая базу данных в OpenCRUD GraphQL API. То есть под капотом она должна индексы строить.
Nl
Так подсчитывайте Cost и Complexity каждого запроса.
Не пойми неправильно, я за GraphQL всей душой, но посоны (безопасники) — не поймут) spectrum.chat, кстати, похоже, лежит))
Nl
Во, ожил
АР
Вот ещё очень полезный пакет:
https://github.com/confuser/graphql-constraint-directive
Помимо того, что с помощью graphql-shield можно ограничить кто что может читать и писать, этот пакет добавляет валидацию самих полей (например, по регулярке).
https://github.com/confuser/graphql-constraint-directive
Помимо того, что с помощью graphql-shield можно ограничить кто что может читать и писать, этот пакет добавляет валидацию самих полей (например, по регулярке).
АР
Не пойми неправильно, я за GraphQL всей душой, но посоны (безопасники) — не поймут) spectrum.chat, кстати, похоже, лежит))
Ну раз собрались использовать GraphQL, нужно изучать как это работает и перестраивать своё мышление.
Если раньше ваши безопасники следили чтобы не было слишком частых запросов к endpkint'ам, то теперь у вас один endpoint и нужно смотреть не на количество запросов, а на «качество» – насколько сложный это запрос.
Те же яйца только вид в профиль.
Если раньше ваши безопасники следили чтобы не было слишком частых запросов к endpkint'ам, то теперь у вас один endpoint и нужно смотреть не на количество запросов, а на «качество» – насколько сложный это запрос.
Те же яйца только вид в профиль.
АР
У вас есть человек кто занимается базами данных, оптимизирует SQL-запросы?
Nl
Ну раз собрались использовать GraphQL, нужно изучать как это работает и перестраивать своё мышление.
Если раньше ваши безопасники следили чтобы не было слишком частых запросов к endpkint'ам, то теперь у вас один endpoint и нужно смотреть не на количество запросов, а на «качество» – насколько сложный это запрос.
Те же яйца только вид в профиль.
Если раньше ваши безопасники следили чтобы не было слишком частых запросов к endpkint'ам, то теперь у вас один endpoint и нужно смотреть не на количество запросов, а на «качество» – насколько сложный это запрос.
Те же яйца только вид в профиль.
Нет, это так не работает, абстрактно: всем понятно, как лочить по IP за превышение RPM, есть умение, есть практика, есть автоматические инструменты
АР
Подключите его к процессу разработки API.