Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GraphQLを安全に使うためにやっていること

Avatar for 林憲吾 林憲吾
September 20, 2024
Technology
900
2

 GraphQLを安全に使うためにやっていること

「テックリードの悩みを解決するGraphQLの話」にて弊社エンジニア重本が登壇した資料です。
https://estie.connpass.com/event/328999/

Avatar for 林憲吾

林憲吾

September 20, 2024

More Decks by 林憲吾

See All by 林憲吾
GraphQLでの型渡しとデータフェッチの最適化
Avatar for 林憲吾 hayashikengo
1
590
電子署名サービスの品質戦略
Avatar for 林憲吾 hayashikengo
1
1k
CTOの役割と、カルチャーの醸成
Avatar for 林憲吾 hayashikengo
1
100

Other Decks in Technology

See All in Technology
LLM とプロンプトエンジニアリング/チューターを定義する / LLMs and Prompt Engineering, and Defining Tutors
Avatar for Kenji Saito ks91
PRO
0
410
ハーネスエンジニアリングの概要と設計思想
Avatar for sergicalsix sergicalsix
4
820
LLM時代の検索アーキテクチャと技術的意思決定
Avatar for shibuiwilliam shibuiwilliam
1
260
DevOpsDays Tokyo 2026 軽量な仕様書と新たなDORA AI ケイパビリティで実現する、動くソフトウェアを中心とした開発ライフサイクル / DevOpsDays Tokyo 2026
Avatar for Niishi Kubo n11sh1
0
130
職能の壁を取り払った先で見えた壁 -AI時代のクロスファンクショナル組織-
Avatar for Yutaro Shimoda shimotaroo
1
110
CDK Insightsで見る、AIによるCDKコード静的解析(+AI解析)
Avatar for Kazuki Adachi k_adachi_01
2
170
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4.2k
EarthCopilotに学ぶマルチエージェントオーケストレーション
Avatar for なかしょ nakasho
0
230
Azure Static Web Apps の自動ビルドがタイムアウトしやすくなった状況に対応した件/global-azure2026
Avatar for TonyTonyKun thara0402
0
320
AIを共同作業者にして書籍を執筆する方法 / How to Write a Book with AI as a Co-Creator
Avatar for ama-ch ama_ch
2
110
え!?初参加で 300冊以上 も頒布!? これは大成功!そのはずなのに わいの財布は 赤字 の件
Avatar for hellohazime hellohazime
0
150
60分で学ぶ最新Webフロントエンド
Avatar for mizdra mizdra
PRO
33
17k

Featured

See All Featured
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
110
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.5k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
1.2k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
880
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.3k
Darren the Foodie - Storyboard
Avatar for Kevinho.art khoart
PRO
3
3.2k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
275
41k
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
310
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
120

Transcript

  1. GraphQLを安全に使うためにやっていること 株式会社PICK 重本 太宏

  2. 重本 太宏 / Takahiro Shigemoto 自己紹介 Web Engineer at PICK

    BE : FE = 7 : 3 設計が好き お気に入りはオニオンアーキ × DDD × テスト駆動

  3. GraphQLの利点 利便性がもたらすリスク 01. PICKで行っている対策 02. 03. 目次 まとめ 04.

  4. 01. GraphQLの利点

  5. GraphQLの利点 01. GraphQLの利点 • いちいちエンドポイントを考える必要がない。増えない。 • 型でFEとBEが語り合える • FEでレスポンスを型安全に扱うことができる •

    一つのクエリで様々なデータフェッチに対応することができる • オーバーフェッチを考慮しなくていいので、 API実装側はYAGNIをあまり気 にせず実装可能

  6. GraphQLの柔軟性の理由 01. GraphQLの利点 A. GraphQLは「型というノードがグラフで繋がれた世界にアクセスするためのク エリ言語」 だから • SQLに近い •

    リレーションさえしていれば(エッジで繋がってさえいれば)縦横無尽にフィール ドを取得することができる

  7. 01. GraphQLの柔軟性の理由 GraphQLの利点 Compa ny Team Contrac t User

  8. 02. 利便性がもたらすリスク

  9. 利便性がもたらすリスク 02. 利便性がもたらすリスク • どこからでも引っ張ってこれることによる、意図しないフィールド露出 • 複雑なクエリや深いクエリを呼ばれることによる DoS攻撃リスク 取ろうと思えばフィールドを取れすぎるのが元凶

  10. 03. PICKで行っている対策

  11. フィールド露出対策 03. PICKで行っている対策 • 敢えて有向グラフにする • フィールドに認可機能を入れる

  12. フィールド露出対策 03. PICKで行っている対策 あえて有向グラフにする • 有向にすることで意図しないフィールド露出を抑制できる • メリット • 簡単にできる

    • デメリット • 利便性が下がる • 把握が難しい Compa ny Team Contrac t User

  13. フィールド露出対策 03. PICKで行っている対策 フィールドに認可機能を入れる • NestJSが提供している FieldMiddlewareを利用 • フィールドを解決する前後に処理を追加してくれる機能を利用する •

    PICKではResolver関数の認可を Guardで行い、フィールドの認可を FieldMiddlewareで行って いる

  14. フィールド露出対策 03. PICKで行っている対策 フィールドに認可機能を入れる 1. Resolverの引数に入る Contextに必要な情報を入れる 2. FieldMiddlewareを定義する 3.

    フィールドに適用する

  15. フィールド露出対策 03. PICKで行っている対策

  16. DoS攻撃対策 03. PICKで行っている対策 • 同時にいくつものクエリを叩ける • 深く取得しようと思えばいくらでもいける GraphQLはQueryによってサーバーに過剰なストレスを与えることができる

  17. DoS攻撃対策 03. PICKで行っている対策 • Apollo-serverのvalidationRulesオプションを利用し、同時に叩ける Query数を制 限 • GraphQL Depth

    Limitを導入し、深さを制限 ならばクエリの数と深さを制限すればいいじゃない

  18. Dos攻撃対策 03. PICKで行っている対策 同時に叩けるクエリ数を制限 graphql-jsパッケージに含まれる validationContextクラ スを使用。 (Queryがパースされた ASTが入っている)

  19. Dos攻撃対策 03. PICKで行っている対策 深さを制限 GraphQL Depth Limitを導入

  20. 04. まとめ

  21. まとめ 04. まとめ • GraphQLはフィールドを縦横無尽に取得できて超便利 • 型がグラフでつながり合った世界にアクセスする仕組みだから • その利便性ゆえに起こる問題 •

    どこからでも引っ張ってこれることによる、意図しないフィールド露出 • あえて有向グラフにする • resolver関数だけでなくフィールドにも認可を機能をつける • 複雑なクエリや深いクエリを呼ばれることによる DoS攻撃リスク • 同時に叩ける Query数を制限する • 深さを制限する この2つはかなり手軽に導入できるのでおすすめ

  22. 今後の課題 04. まとめ • クエリの複雑度分析を取り入れていきたい • IntrospectionやAlias等をOFFにすることの検討 • CQRSとか考慮したい

  23. ご清聴ありがとうございました

  24. None