Erişim Kontrolü

GraphQL endpoint, şema üzerinden erişilebilen her türlü veriyi döndürebildiğinden, kötü niyetli kişilerin özel bilgilere ulaşmasına olanak tanıyabilir. Bu nedenle verileri korumak için güvenlik önlemleri almamız gerekmektedir.

​

Erişim Kontrolü

Erişim kontrol listeleri sayesinde şemadaki her operasyon, alan ve direktife kimin erişebileceğini tanımlayabiliriz:

• Herkese erişimi devre dışı bırakma
• Kullanıcı oturum açmışsa veya oturumu kapalıysa erişim izni verme
• Kullanıcının belirli bir rolü varsa erişim izni verme
• Kullanıcının belirli bir yetkisi varsa erişim izni verme
• Ziyaretçi belirli bir IP veya IP aralığından geliyorsa erişim izni verme

​

Genel/Özel Şema

Şemadaki bir alana veya direktife erişim izni olmayan bir kullanıcı buna erişmeye çalıştığında ne olmalıdır?

Genel/özel API modu ile istenen davranışı kontrol edebiliriz:

Genel API'de şemadaki alanlar açıkta olup izin karşılanmadığında kullanıcı, iznin neden reddedildiğini açıklayan bir hata mesajı alır.

Özel API'de şema her kullanıcıya göre özelleştirilir ve yalnızca o kişi için mevcut olan alanları içerir; bu nedenle yasaklı bir alana erişilmeye çalışıldığında hata mesajı söz konusu alanın mevcut olmadığını belirtir.