U
привет! Ребят, какие есть варианты сделать приватные роуты в graphql ?
закрой их токеном в хедере
Size: a a a
2019 June 28
A
я и передаю токен в хедере, проблема в том что часть резолверов - открытая, а часть приватная
A
как это можно хендлить на уровне резолвера (кроме банальной копипасты)
U
в контексте можно
U
но лучше наверное разделить приватное и публичное api
A
то есть два сервака делать грубо говоря ?
U
ну смотря что под серваком подразумевается, но да, два бэка грубо говоря
A
а есть вариант достать роут, к которому обращаются из req?
A1
привет! Ребят, какие есть варианты сделать приватные роуты в graphql ?
У нас у пользователей могут быть разные роли. Их проверяем через middleware. Но у нас python, не знаю есть ли нормальные аналоги на чем вы там пишите.
A
на нод
AL
Мое мнение насчет скрывать/показывать с точки зрения безопасности примерно такое.
Если твое приложение можно захачить только узнав форматы и типы ответов, значит твое секьюрити полное говно.
Если АПИ публичный и им должны пользоваться, то тогда делай отдельный апи, если апи публичный, но никто им пользоваться не должен, просто выключай интроспекцию и все ИМХО.
Если твое приложение можно захачить только узнав форматы и типы ответов, значит твое секьюрити полное говно.
Если АПИ публичный и им должны пользоваться, то тогда делай отдельный апи, если апи публичный, но никто им пользоваться не должен, просто выключай интроспекцию и все ИМХО.
A1
Если не хотите даже схему показывать, то лучше разные роуты сделать.
A
да схема то пускай будет известна, просто что бы без токена туда нельзя было “попасть”
AL
А, ну так, я думаю можно отстреливать сразу при создании контекста. Точно не скажу как, но должна быть такая возможность.
A
понял, думаю да, надо копать на том уровне
A
спасибо всем за ответы )
AT
U
да схема то пускай будет известна, просто что бы без токена туда нельзя было “попасть”
попасть - это уже graphql запрос на интрспекцию схемы
A
попасть - это уже graphql запрос на интрспекцию схемы
я имел в виду, пусть запросы шлют, но им выдает Unathorized
A
понял, почитаю о директивах