Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GraphQLを安全に使うためにやっていること

Avatar for 林憲吾 林憲吾
September 20, 2024
Technology
2
780

 GraphQLを安全に使うためにやっていること

「テックリードの悩みを解決するGraphQLの話」にて弊社エンジニア重本が登壇した資料です。
https://estie.connpass.com/event/328999/

Avatar for 林憲吾

林憲吾

September 20, 2024
Tweet

More Decks by 林憲吾

See All by 林憲吾
GraphQLでの型渡しとデータフェッチの最適化
Avatar for 林憲吾 hayashikengo
1
510
電子署名サービスの品質戦略
Avatar for 林憲吾 hayashikengo
1
920
CTOの役割と、カルチャーの醸成
Avatar for 林憲吾 hayashikengo
1
88

Other Decks in Technology

See All in Technology
今!ソフトウェアエンジニアがハードウェアに手を出すには
Avatar for mackee mackee
12
4.7k
下手な強制、ダメ!絶対! 「ガードレール」を「檻」にさせない"ガバナンス"の取り方とは?
Avatar for Masataka Tsukamoto tsukaman
2
430
ChatGPTとPlantUML/Mermaidによるソフトウェア設計
Avatar for gowhich501 gowhich501
1
130
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
Avatar for amixedcolor amixedcolor
2
540
Generative AI Japan 第一回生成AI実践研究会「AI駆動開発の現在地──ブレイクスルーの鍵を握るのはデータ領域」
Avatar for KoheiOgawa shisyu_gaku
0
150
250905 大吉祥寺.pm 2025 前夜祭 「プログラミングに出会って20年、『今』が1番楽しい」
Avatar for Masaya Kudo msykd
PRO
1
710
dbt開発 with Claude Codeのためのガードレール設計
Avatar for 10xinc 10xinc
2
1.2k
複数サービスを支える マルチテナント型 Batch MLプラットフォーム
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
320
これでもう迷わない!Jetpack Composeの書き方実践ガイド
Avatar for ZOZO Developers zozotech
PRO
0
320
機械学習を扱うプラットフォーム開発と運用事例
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
230
DevIO2025_継続的なサービス開発のための技術的意思決定のポイント / how-to-tech-decision-makaing-devio2025
Avatar for Logy nologyance
1
380
S3アクセス制御の設計ポイント
Avatar for tommy tommy0124
3
190

Featured

See All Featured
The Language of Interfaces
Avatar for Des Traynor destraynor
161
25k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
36
2.5k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.9k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
43
7.6k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
460k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
271
21k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Code Review Best Practice
Avatar for Trisha Gee trishagee
70
19k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k

Transcript

  1. GraphQLを安全に使うためにやっていること 株式会社PICK 重本 太宏

  2. 重本 太宏 / Takahiro Shigemoto 自己紹介 Web Engineer at PICK

    BE : FE = 7 : 3 設計が好き お気に入りはオニオンアーキ × DDD × テスト駆動

  3. GraphQLの利点 利便性がもたらすリスク 01. PICKで行っている対策 02. 03. 目次 まとめ 04.

  4. 01. GraphQLの利点

  5. GraphQLの利点 01. GraphQLの利点 • いちいちエンドポイントを考える必要がない。増えない。 • 型でFEとBEが語り合える • FEでレスポンスを型安全に扱うことができる •

    一つのクエリで様々なデータフェッチに対応することができる • オーバーフェッチを考慮しなくていいので、 API実装側はYAGNIをあまり気 にせず実装可能

  6. GraphQLの柔軟性の理由 01. GraphQLの利点 A. GraphQLは「型というノードがグラフで繋がれた世界にアクセスするためのク エリ言語」 だから • SQLに近い •

    リレーションさえしていれば(エッジで繋がってさえいれば)縦横無尽にフィール ドを取得することができる

  7. 01. GraphQLの柔軟性の理由 GraphQLの利点 Compa ny Team Contrac t User

  8. 02. 利便性がもたらすリスク

  9. 利便性がもたらすリスク 02. 利便性がもたらすリスク • どこからでも引っ張ってこれることによる、意図しないフィールド露出 • 複雑なクエリや深いクエリを呼ばれることによる DoS攻撃リスク 取ろうと思えばフィールドを取れすぎるのが元凶

  10. 03. PICKで行っている対策

  11. フィールド露出対策 03. PICKで行っている対策 • 敢えて有向グラフにする • フィールドに認可機能を入れる

  12. フィールド露出対策 03. PICKで行っている対策 あえて有向グラフにする • 有向にすることで意図しないフィールド露出を抑制できる • メリット • 簡単にできる

    • デメリット • 利便性が下がる • 把握が難しい Compa ny Team Contrac t User

  13. フィールド露出対策 03. PICKで行っている対策 フィールドに認可機能を入れる • NestJSが提供している FieldMiddlewareを利用 • フィールドを解決する前後に処理を追加してくれる機能を利用する •

    PICKではResolver関数の認可を Guardで行い、フィールドの認可を FieldMiddlewareで行って いる

  14. フィールド露出対策 03. PICKで行っている対策 フィールドに認可機能を入れる 1. Resolverの引数に入る Contextに必要な情報を入れる 2. FieldMiddlewareを定義する 3.

    フィールドに適用する

  15. フィールド露出対策 03. PICKで行っている対策

  16. DoS攻撃対策 03. PICKで行っている対策 • 同時にいくつものクエリを叩ける • 深く取得しようと思えばいくらでもいける GraphQLはQueryによってサーバーに過剰なストレスを与えることができる

  17. DoS攻撃対策 03. PICKで行っている対策 • Apollo-serverのvalidationRulesオプションを利用し、同時に叩ける Query数を制 限 • GraphQL Depth

    Limitを導入し、深さを制限 ならばクエリの数と深さを制限すればいいじゃない

  18. Dos攻撃対策 03. PICKで行っている対策 同時に叩けるクエリ数を制限 graphql-jsパッケージに含まれる validationContextクラ スを使用。 (Queryがパースされた ASTが入っている)

  19. Dos攻撃対策 03. PICKで行っている対策 深さを制限 GraphQL Depth Limitを導入

  20. 04. まとめ

  21. まとめ 04. まとめ • GraphQLはフィールドを縦横無尽に取得できて超便利 • 型がグラフでつながり合った世界にアクセスする仕組みだから • その利便性ゆえに起こる問題 •

    どこからでも引っ張ってこれることによる、意図しないフィールド露出 • あえて有向グラフにする • resolver関数だけでなくフィールドにも認可を機能をつける • 複雑なクエリや深いクエリを呼ばれることによる DoS攻撃リスク • 同時に叩ける Query数を制限する • 深さを制限する この2つはかなり手軽に導入できるのでおすすめ

  22. 今後の課題 04. まとめ • クエリの複雑度分析を取り入れていきたい • IntrospectionやAlias等をOFFにすることの検討 • CQRSとか考慮したい

  23. ご清聴ありがとうございました

  24. None