Kontrol Akses

Endpoint GraphQL, yang dapat mengembalikan data apa pun yang dapat diakses melalui skema, berpotensi memungkinkan pelaku jahat untuk mengambil informasi pribadi. Oleh karena itu, kita harus menerapkan langkah-langkah keamanan untuk melindungi data.

​

Kontrol Akses

Dengan daftar kontrol akses, kita dapat menentukan siapa yang dapat mengakses setiap operasi, field, dan direktif dalam skema:

• Nonaktifkan akses untuk semua orang
• Berikan akses jika pengguna sudah login, atau sudah logout
• Berikan akses jika pengguna memiliki peran tertentu
• Berikan akses jika pengguna memiliki kemampuan tertentu
• Berikan akses jika pengunjung berasal dari IP atau rentang IP tertentu

​

Skema Publik/Privat

Apa yang harus terjadi ketika pengguna tanpa akses ke suatu field atau direktif dalam skema mencoba mengaksesnya?

Dengan mode API publik/privat, kita dapat mengontrol perilaku yang diinginkan:

Pada API publik, field-field dalam skema diekspos, dan ketika izin tidak terpenuhi, pengguna mendapatkan pesan error dengan deskripsi mengapa izin tersebut ditolak.

Pada API privat, skema disesuaikan untuk setiap pengguna, hanya berisi field-field yang tersedia baginya, sehingga ketika mencoba mengakses field yang dilarang, pesan error menyatakan bahwa field tersebut tidak ada.