クライアント ID を使用した GraphQL API の保護

($operationPath() = '/graphql' and message.attributes.parse.GraphQLIntrospection = 'not-introspection' and message.attributes.graphql.operationType = 'subscription')

($operationPath() = '/graphql' and message.attributes.parse.GraphQLIntrospection = 'not-introspection' and message.attributes.graphql.operationType != 'subscription')

• ポリシー 1:

  プロパティー	値
  ソース	名前順のプラン
  レート制限名	graphql-type-cost
  操作	利用
  レート制限名	graphql-field-cost
  操作	利用
  レート制限名	graphql-input-type-cost
  操作	利用

  このレート制限ポリシーは、照会の予想コストを計算し、それに応じて、構成された合計コスト制限のうち、残っている使用可能コスト量を減らすことによって、GraphQL プロキシー API の呼び出しを制限します。 予期されるコストは、 GraphQL スキーマのタイプおよびフィールドに付加された加重係数を適用することによって計算されます。詳しくは、 GraphQL スキーマ・エディターの使用を参照してください。

  予想コストは、レート制限ポリシーに先行する妥当性検査ポリシーによって計算され、レート制限ポリシーで使用できるように API コンテキストに配置されます。 妥当性検査ポリシーについて詳しくは、 妥当性検査を参照してください。

  参照されたレート制限が適用されるコスト計算の詳細は、以下のとおりです。

  • graphql-field-cost: 照会で選択されているフィールドの重みづけされた合計。 スカラー・タイプまたは列挙タイプの値を返すフィールドの重みは 0.0 であるため、フィールド・コストには影響しません。
    例えば、次の照会について考えてみます。この場合、フィールド Query.offices の filter 引数内の値 max が、返される Office オブジェクトの数を制約することが想定されています。

    query {
      offices (filter: {location: "NY", max: 3}) {
        address {
          street
        }
      }
    }

    Address.street フィールドのタイプは String であるため、重みは 0.0 です。 GraphQL スキーマ・エディターで変更されない非スカラー・フィールドと非列挙フィールドの重みでは、デフォルト値 1.0 が想定されます。 Office.address フィールドの重みが 3.0 に設定されている場合、合計フィールド・コストは 10.0 であり、これは次のように計算されます。

    フィールド	ウェイト	フィールド・コスト
    Query.offices	1.0	1 x 1.0 = 1.0
    Office.address	2.0	3 x 3.0 = 9.0
    Address.street	0.0	0.0
    	合計コスト:	1.0 + 9.0 + 0.0 = 10.0

  • graphql-type-cost:

    照会によって返されるタイプの重みづけされた合計。 スカラー・タイプまたは列挙タイプの重みは 0.0 であるため、タイプ (型) のコストには影響しません。

    上記の例を考慮し、すべてのタイプのデフォルトの重みが 1.0 であると想定すると、合計のタイプのコストは 7 (1 x Query タイプ + 3 x Office タイプ + 3 x Address タイプ) になります。

  • graphql-input-type-cost:

    照会で送信される入力タイプの重みづけされた合計。 スカラー入力タイプまたは列挙入力タイプの重みは 0.0 であるため、入力タイプのコストには影響しません。

    前の例を考慮すると、入力タイプのコストは 1.0 です。これは、filter 引数内で 1 つの FilterInput タイプが送信されるためです。 FilterInput.location は String タイプ、FilterInput.max は Int タイプです。したがって、これらはスカラーであるため、含まれません。

• ポリシー 2:

  プロパティー	値
  ソース	名前順のプラン
  レート制限名	graphql-type-cost
  操作	補充
  レート制限名	graphql-field-cost
  操作	補充

  このレート制限ポリシーは、照会の実際のコストを計算し、それに応じて、構成された合計コスト制限のうち、残っている使用可能コスト量を減らすことによって、GraphQL プロキシー API の呼び出しを制限します。 実際のコストは、 GraphQL スキーマのタイプおよびフィールドに付加された加重係数を適用して計算されます。詳しくは、 GraphQL スキーマ・エディターの使用を参照してください。

  実際のコストが予想コストより少ない場合、このレート制限ポリシーは、ポリシー 1 によって削除された使用可能コスト残量の一部を適宜復元し、それにより、元の実際のコスト制限をオーバーライドします。 例えば、バックエンド・データベースで使用可能なデータより多くのデータが照会で要求された場合、実際のコストが予想コストより少なくなる可能性があります。 必要であれば、これらのレート制限ポリシーのいずれかをアセンブリーから削除できます。

  注: GraphQL 応答エラーがある場合、このような未使用コストは復元 されません 。 この制限は、少量のコストのみを使用して大量の誤ったバックエンド処理を引き起こす悪意のある要求を防止することを目的としています。

  実際のコストは、レート制限ポリシーに先行する妥当性検査ポリシーによって計算され、レート制限ポリシーで使用できるように API コンテキストに配置されます。 妥当性検査ポリシーについて詳しくは、 妥当性検査を参照してください。

($operationPath() = '/graphql/cost' and message.attributes.parse.GraphQLIntrospection = 'not-introspection')

($operationPath() = '/graphql' and message.attributes.parse.GraphQLIntrospection = 'standard-introspection')