开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

GraphQL lambda解析器返回未经授权的访问

基础概念

GraphQL是一种用于API的查询语言，它允许客户端精确地请求所需的数据。Lambda解析器是在GraphQL服务器上执行的一个函数，它负责处理特定的查询或变更请求，并返回相应的数据。

相关优势

灵活性：客户端可以精确地请求所需的数据，而不是获取整个数据集。
效率：减少了不必要的数据传输，提高了性能。
强类型：通过定义Schema，可以在编译时捕获类型错误。

类型

Lambda解析器可以是以下几种类型：

查询解析器：处理读取操作。
变更解析器：处理写入操作（如创建、更新、删除）。
订阅解析器：处理实时数据更新。

应用场景

GraphQL Lambda解析器广泛应用于需要灵活数据访问的Web应用、移动应用和API服务中。

问题：未经授权的访问

原因

未经授权的访问通常是由于以下原因之一：

认证机制缺失：没有正确实现或配置认证机制。
权限控制不当：即使有认证机制，也可能没有正确设置权限控制。
中间件配置错误：在处理请求的过程中，中间件可能没有正确执行认证和授权检查。

解决方法

实现认证机制：
- 使用JWT（JSON Web Token）进行认证。
- 集成OAuth2或其他认证服务。

设置权限控制：
- 在解析器中添加权限检查逻辑。
- 使用角色基础的访问控制（RBAC）或基于策略的访问控制（PBAC）。
正确配置中间件：
- 确保在请求到达解析器之前，中间件已经完成了认证和授权检查。

示例代码

以下是一个简单的示例，展示如何在Lambda解析器中实现基本的认证和授权检查：

const { ApolloServer, gql } = require('apollo-server-lambda');

// 定义Schema
const typeDefs = gql`
  type Query {
    hello: String
  }
`;

// 定义解析器
const resolvers = {
  Query: {
    hello: (_, __, context) => {
      // 检查认证信息
      if (!context.user) {
        throw new Error('Unauthorized');
      }
      return 'Hello, world!';
    }
  }
};

// 创建Apollo Server实例
const server = new ApolloServer({
  typeDefs,
  resolvers,
  context: ({ event, context }) => ({
    headers: event.headers,
    functionName: context.functionName,
    event,
    context,
    user: event.headers.Authorization ? event.headers.Authorization.split(' ')[1] : null
  })
});

// 导出Lambda处理函数
exports.graphqlHandler = server.createHandler();

参考链接

通过以上方法，可以有效防止未经授权的访问，并确保GraphQL Lambda解析器的安全性。

相关搜索:Laravel 8返回403未经授权的访问未经授权的用户访问某些url 防止未经授权的用户访问页面从WebAPI返回未经授权的401 拒绝未经授权的用户访问url/视图如何摆脱这种未经授权的访问异常？Swagger仅通过Swagger返回未经授权的新闻样本技能返回未经授权的错误通过lambda访问appsync会产生未经授权的结果，即使角色正确也是如此使用auth0 as授权的Appsync oidc返回未经授权 Skype Web SDK用户AvatarURL未经授权的访问作为中间件的graphql解析器中的授权在亚马逊网络服务未经授权的401中测试GraphQL，授权程序有问题 InfluxDB使用生成的令牌报告“未经授权的访问”使用cookies请求cURL PHP时未经授权的访问 Angular Detect 401使用JWT进行未经授权的访问获取API请求收到401个未经授权的访问尝试登录acr时获得未经授权的访问权限 jMeter为搜索请求返回401未经授权的错误 rails使用夹具设计测试问题(未经授权的访问)

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

GraphQL 初体验，Node.js 构建 GraphQL API 指南

过去几年中，GraphQL 已经成为一种非常流行的 API 规范，该规范专注于使客户端（无论是客户端、前端还是第三方）的数据获取更加容易。

04

Salesforce 构建可扩展 API 的旅程

作者 | Nitesh Kumar 译者 | 张卫滨策划 | Tina API 对于组织来讲正变得越来越重要，但是，构建安全、可扩展的 API 并非易事。本文从执行环境、API 技术、安全性等角度出发，介绍了如何构建高效、可扩展的 API。本文最初发表于 Salesforce 站点，经作者 Nitesh Kumar 授权，由 InfoQ 中文站翻译分享。 API 是一个重要的工具，允许合作伙伴、开发人员和其他应用消费我们提供的微服务，与之进行通信，并基于此构建各种各样的功能。高质量的 AP

01

与我一起学习微服务架构设计模式8—外部API模式

Web应用在防火墙内部运行，它们通过高带宽、低延迟的局域网访问服务。其他客户端在防火墙之外运行，通过较低带宽、较高延迟的互联网或移动网路访问。

03

英国卫报基于 Serverless、React 和 GraphQL 构建内容协作工具 Pinboard

英国卫报创建了一个讨论和资产共享工具 Pinboard ，并将其整合到公司使用的各种内容管理平台中。该解决方案使用了一系列技术，包括用于编写业务逻辑的 Typescript、用于执行代码的无服务器服务、API 端点和 GraphQL 服务器，以及用于存储的 AWS RDS（PostgreSQL）。

01

这才是GraphQL最详细的解释[每日前端夜话0x80]

GraphQL是一种查询语言、一种执行引擎和一种规范，它引领开发人员重新思考应该怎样去构建客户端和API。

03

什么是GraphQL？【Programming】

Graphql 是一种查询语言、一个执行引擎和一个规范，它引导开发人员重新思考如何构建客户端和 API 应用程序

00

GraphQL 在微服务架构中的实践

在过去的将近半年的时间里，作者一直在使用 GraphQL 这门相对新兴的技术开发 Web 服务，与更早出现的 SOAP 和 REST 相比，GraphQL 其实提供的是一套相对完善的查询语言，而不是类似 REST 的设计规范，所以需要语言的生态提供相应的框架支持，但是由于从它开源至今也只有两三年的时间，所以在使用的过程中，尤其是在微服务架构中实践时确实还会遇到很多问题。

01

Coursera 的 GraphQL 之旅

Coursera 的客户端开发人员钟情于 GraphQL 的灵活性，类型安全性和良好的社区支持，我们对 GraphQL 的喜爱众~所~周~知。然而，我们并没有过多讨论后端开发人员是如何看待 GraphQL 的，因为他们大多数实际上并不需要考虑 GraphQL。

04

一种不错的 BFF Microservice GraphQL/REST API 层的开发方式

云原生（Cloud Native）Node JS Express Reactive 微服务模板 (REST/GraphQL) 这个项目提供了完整的基于 Node JS / Typescript 的微服务模板，包括生产部署、监控、调试、日志记录、安全、CI/CD 所需的所有功能。还添加了基于响应性扩展的示例，以演示如何将其用于构建微服务 API 边缘服务（edge-service）、前端的后端（BFF）或将其用作构建任何类型微服务的基础。

01

GraphQL 在微服务架构中的实践

在过去的将近半年的时间里，作者一直在使用 GraphQL 这门相对新兴的技术开发 Web 服务，与更早出现的 SOAP 和 REST 相比，GraphQL 其实提供的是一套相对完善的查询语言，而不是类似 REST 的设计规范，所以需要语言的生态提供相应的框架支持，但是由于从它开源至今也只有两三年的时间，所以在使用的过程中，尤其是在微服务架构中实践时确实还会遇到很多问题。

02

尝试使用官方教程学习 GraphQL

GraphQL 是用于客户端与服务器通信的语言规范。它有多种语言的实现，可以在广泛的环境中使用。https://graphql.org/code/

01

腾讯云DNSPod已全面支持DNSSEC服务。

域名系统（DNS）就如同互联网的电话簿：它告诉计算机向哪里发送信息，从哪里检索信息。可惜的是，它也接受互联网提供给它的任何地址，而不会进行任何询问。

02

如何打开DNSSEC?

DNS(域名系统)类似于Internet的电话簿：它告诉计算机在哪里发送信息，在什么地方搜索信息。遗憾的是，它也接受因特网提供给它的任何地址，这并不成问题。

03

graphql+koa2 前端bff层

我们团队的后端使用的是restful规范。每次查询的时候可能多少都会出现冗余字段，要剔除这些冗余字段对于后端同学来说没有技术含量又耗时。另外后端同学对于bff层其实不怎么感冒，因为数据聚合对他们来说没什么含量，完全是对前端同学服务。所以我们完全可以引入查询来接手后端同学的bff层。又或者我们新增了字段需要查询新增的字段后端同学也需要更改。基于这些尝试引入node+graphql。graphql的查询优势在于前端可以主动控制字段的获取（只要这些字段是可以访问的）。集成graphql有两种方式。

01

边缘服务的一致性、耦合和复杂性

技术公司采用微服务架构已经十多年了，结果好坏参半。微服务之间的依赖关系导致在修改一个服务时也需要修改其他服务，微服务的优势因此打了折扣。这就是所谓的紧密耦合。但组件之间的依赖关系是不可避免的。

01

GraphQL是API的未来，但它并非银弹

我认为，GraphQL 将改变世界。将来，你可以使用 GraphQL 查询世界上的任何系统。我在创造这样的未来。那么我为什么要对使用 GraphQL 进行辩驳呢？我个人最讨厌的是，社区一直在宣传 GraphQL 的好处，而这些好处却非常普通，并且与 GraphQL 实际上没有任何关系。如果我们想推广采用，那么我们应该诚实，应该摘掉有色眼镜。这篇文章是对 Kyle Schrade 的文章“为什么使用 GraphQL”的回应。这并不是批评。这篇文章是一个很好的讨论基础，因为它代表了我在社区中经常听到的观点。如果你读了整篇文章，当然这会花一些时间，你就会完全理解，为什么我认为 Kyle 的文章应该改名为“为什么使用 Apollo”。

01

基于解析器组合子的语法解析器(上)

语法，在语言学中是指任意自然语言中句子、短语以及词汇等语法单位的语法结构与语法意义的规律，本质上即音义结合体之间的结合规律。在程序语言的范畴上，描述的则是基于文本的源码以特定规则放置，来表达其特有的语义内涵。

05

实践微服务，第14部分：GraphQL

在实践微服务系列博客的这一篇中，我们将看看如何使用GraphQL将Account对象提供给我们的客户端。

04

腾讯云DNSPod 已全面支持 DNSSEC啦～内含D妹抽奖！

腾讯云 DNSPod 已全面支持 DNSSEC啦~ （域名&DNS 双向支持）腾讯云 DNSPod 更有贴心特性腾讯云注册域名：支持一键开通，无需手动添加 DS 记录开关保护：智能检测 DS 记录，避免影响解析服务想了解更多，就看下去吧！前往DNSPod控制台（文末有抽奖不要错过哦！） DNSSEC如何添加DS记录 01 如何开启DNSSEC？第一步：DNSPod 控制台开启 DNSSEC 服务。 [控制台] - DNS 解析 - 我的域名 - 域名设置 - DNSSEC ，点

02

GraphQL最突出的架构优势是什么？

作者 | Khalil Stemmler 策划 | 田晓旭在服务器上使用 GraphQL 代替 REST 是有很多好处的，使用 Apollo Client 取代自己编写的数据获取逻辑也有很多优势。在这篇文章中，我们主要讨论 GraphQL 最突出的架构优势。本文最初发布于 khalilstemmler.com 网站，经原作者授权由 InfoQ 中文站翻译并分享。在过去的几年中，我们已经看到各种规模和形态的公司都开始在整个组织中逐渐采用 GraphQL，例如 Expedia、Nerdwallet 和 A

02

【译】Graphql, gRPC和端对端类型检验

StackPath最近发布了新的门户网站，它让用户可以一站式地配置我们所提供的服务（CDN,WAF, DNS以及Monitoring）。这个项目涉及到整合不同的数据源，以及一些现有和全新的系统。虽然我们认为开发效率的优先级在一个新启动的项目中是最高的，但我们还是希望在保证足够快的开发进度的前提下，尽可能早地做一些能够保证产品长期稳定运行的技术投资，以便我们能够持续不断地在一个健壮的基础设施上添加新的功能特性。最终我们选择了Apollo GraphQL+gRPC+React+TypeScript这样一套技术栈，并对使用它们的结果感到满意。在这篇博客中，我们会解释为何选择这些技术栈，并通过一个简单的示例项目进行论述。

02

GraphQL入门之使用ApolloServer构建GraphQL服务

接上一篇文章，上一篇通过 express 作为 GraphQL Server 介绍了一下 GraphQL，今天说一下如何使用 Apollo Server 作为 GraphQL服务器。

01

PEG.js学习笔记

本文介绍了PEG.js，一种JavaScript的表达式语法解析器，可用于快速分析数据或建立复杂计算机程序。PEG.js可以用于快速解析形成抽象语法树，从而进行代码生成、代码优化、代码解析等任务。PEG.js支持多种编程范式，包括函数式、命令式、面向对象等，具有易学易用、高性能、高度可扩展等特点。PEG.js还提供了丰富的库和工具，包括语法分析、数据转换、词法分析、代码生成等，可广泛应用于各种场景。同时，PEG.js还提供了高度可配置的插件系统，可以灵活扩展其功能。

08

PEG.js学习笔记

PEG.js 是一个JavaScript的表达式语法解析器，它使您能够轻松地建立复杂的数据或计算机程序语言的快速分析器。

02

万字长文爆肝 DNS 协议！

试想一个问题，我们人类可以有多少种识别自己的方式？可以通过身份证来识别，可以通过社保卡号来识别，也可以通过驾驶证来识别，尽管我们有多种识别方式，但在特定的环境下，某种识别方法可能比另一种方法更为适合。因特网上的主机和人类一样，可以使用多种识别方式进行标识。互联网上主机的一种标识方法是使用它的主机名(hostname) ，如 www.facebook.com、 www.google.com 等。但是这是我们人类的记忆方式，路由器不会这么理解，路由器喜欢定长的、有层次结构的 IP地址。

01

什么是API管理？

对依赖API的组织来说，API管理是非常关键的实践。本文将全面介绍API的管理知识，并详细解释API管理工具、平台和解决方案的相关信息。

01

一系列令人敬畏的.NET核心库，工具，框架和软件[通俗易懂]

原文地址：https://github.com/thangchung/awesome-dotnet-core

03

nginx怎么应对他人把域名解析到你的网站

有时候，人们可能会将他们自己的域名解析到你的网站上。这可能是由于以下一些原因：

04

DNS，node以及反向代理的一些知识和应用

域名系统（英文：Domain Name System，缩写：DNS）是因特网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。DNS 使用TCP和UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。正向解析：从域名到ip的转换反向解析：从ip到域名的转换

01

GraphQL 是一个陷阱？

作者 | Marc-André Giroux 本文最初发布于 Marc-André Giroux 博客，由 InfoQ 中文站翻译并分享。这个话题昨天在推特上爆发了，我想应该用更长的篇幅回顾一下作者的一些观点，澄清一些误解，我们一个个过一遍。【推文 1 】GraphQL 使你的公共 API 等同于一个通用数据库，更糟糕的是——一个通用图形数据库，维护工作量高得惊人；锁定查询功能意味着你只是在运行普通的 API，但不锁定它意味着无限的性能工作。（https://twitter.com/jmhodges

01

2018年微服务的5个发展趋势

image.png 原文作者：Astasia Myers 原文地址：https://medium.com/memory-leak/5-microservices-trends-to-watch-in-

02

API架构风格对比：SOAP vs REST vs GraphQL vs RPC

最近一段时间关于GraphQL的讨论很多，一些项目中也相继用到了这种风格，但使用是否合理，是否存在杀鸡用牛刀这样的问题，还有待商榷。

01

PayPal大规模采用GraphQL的探索和实践

我们通过构建收银台体验开启了我们的 GraphQL 采用之旅。当我们用 GraphQL 构建收银台应用程序时，我们看到了采用 GraphQL 的巨大好处，这成为我们的指路明灯。我们构建了更多的应用程序，提供了基础设施支持，发布了一个公共 GraphQL API，并在全公司提供了培训和学习材料。我们还建立了一个标准机构，提供了一个 GraphQL 工具 fanny pack，并构建了示例应用程序来帮助团队开始使用 GraphQL。

02

源码翻译 | MongoDB查询系统

译者注：本篇内容由MongoDB官方从'2020.12.23'开始更新，处于未完成的状态。

04

防止你的GraphQL API被恶意查询

原英文： https://blog.apollographql.com/securing-your-graphql-api-from-malicious-queries-16130a324a6b

01

渗透测试面试题

渗透测试是一种评估计算机系统、网络或应用程序的安全性的方法。它是通过模拟攻击来测试一个系统的安全性，以找出系统中的弱点和漏洞，然后提供解决方案以修复这些问题。渗透测试通常包括应用程序性能和中间件（中间层）的安全、身份验证机制的测试、密码策略、网络设施，以及社交工程等各个方面。渗透测试常用于检测和评估企业的网络安全和安全风险，以便于决策者了解各项目前的安全问题并做出相应的决策和改进措施。

01

4种主流的API架构风格对比

本文讨论了四种主要的 API 架构风格，比较它们的优缺点，并重点介绍每种情况下最适合的 API 架构风格。

02

4种主流的API架构风格对比

两个单独的应用程序需要中介程序才能相互通信。因此，开发人员经常需要搭建桥梁——也就是应用程序编程接口（API），来允许一个系统访问另一个系统的信息或功能。

03

渗透测试面试题

渗透测试是一种评估计算机系统、网络或应用程序的安全性的方法。它是通过模拟攻击来测试一个系统的安全性，以找出系统中的弱点和漏洞，然后提供解决方案以修复这些问题。渗透测试通常包括应用程序性能和中间件（中间层）的安全、身份验证机制的测试、密码策略、网络设施，以及社交工程等各个方面。渗透测试常用于检测和评估企业的网络安全和安全风险，以便于决策者了解各项目前的安全问题并做出相应的决策和改进措施。

03

API NEWS | Jetpack WordPress插件存在API漏洞

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

03

GraphQL在现代Web应用中的应用与优势

GraphQL是一种现代的API查询语言，它在现代Web应用中得到了广泛的应用，因为它提供了一种高效、灵活且强大的方式来获取数据

01

安息吧 REST API，GraphQL 长存

即使与 REST API 打交道这么多年，当我第一次了解到 GraphQL 和它试图解决的问题时，我还是禁不住把本文的标题发在了 Twitter 上。

03

四种主流的API风格介绍与对比

API（Application Programming Interface）是现代软件的构建块之一，它允许不同的应用程序之间进行通信和协作，进而使得开发者能够创建出更为动态、灵活且具有扩展性的软件。随着互联网技术的不断发展，各种API规范也随之涌现，其中最常见的API风格包括：RESTful API、GraphQL API、RPC API和SOAP API。

05

GraphQL 的入门指南

今天最常讨论的术语之一是 API，很多人不知道 API 到底是什么，API 是 Application Programming Interface(应用程序编程接口)。顾名思义，它是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。

03

激荡二十年：HTTP API 的变迁

这篇稿子断断续续写了有两周，期间还在公司做了一次 “A Tour to API Evolution” 的讲座，基本上就是把中文的稿子转译了一下。我之所以要研究这样一个主题，是想从 API 的历史中找到未来前进的方向，毕竟「读史使人明智，知古可以鉴今」。

03

GraphQL语法用于模式验证和代码生成的新方法

Nav Inc.已经创建了一个开源模式定义和代码生成器，它使用GraphQL语法来定义事件和消息格式。选择GraphQL是因为它的表达能力和对开发人员的熟悉程度;Nav模式体系结构(NSA)不使用GraphQL runtime。

01

用 350 行代码从零开始，将 Lisp 编译成 JavaScript

我们将会在本篇文章中看到从零开始实现的编译器，将简单的类 LISP 计算语言编译成 JavaScript。完整的源代码在这里。

04

网络工程师必备技能-IP业务之DNS

静态域名解析通过静态域名解析表进行，用户手动建立域名和IP地址之间的对应关系表，将一些常用的域名放入表中。当客户端需要域名所对应的IP地址时，首先到静态域名解析表中查找指定的域名，从而获得所对应的IP地址，提高域名解析的效率。

02

GraphQL入门之使用ApolloServer和express构建GraphQL服务

接上一篇文章，由于 express 现在仍然是主流的 Node.js 服务端框架，所以今天看看 ApolloServer 怎样和 express 集成构建 GraphQL 服务。另外今天文章也顺便讲一下怎么使用 typescript 来实现。

01

用ServBay快速构建下一代GraphQL应用

微服务架构是一种将应用程序构建为一组小服务的方法，每个服务运行在其自己的进程中，并通过轻量级机制（通常是HTTP资源API）进行通信。这些服务围绕业务能力构建，可以独立部署，由完全自治的团队维护。在我们深入构建微服务的过程之前，了解 GraphQL 在此架构中的作用非常重要。

00

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭