Zabezpečení GraphQL API

V minulém článku jsme si popisovali, jaké techniky jsme v Shopsys využili pro řešení N+1 problému ve frontendovém GraphQL API. Dnes se podíváme na další aplikační postupy, kterými zajišťujeme bezpečí našeho API před nezvanými nájezdníky, kteří by rádi páchali škody.

Technologie GraphQL v základu uživateli nevymezuje žádné hranice pro skládání dotazů. To je jedna z jeho hlavních výsad, ale zároveň to může být i velký problém. Stačí jen trochu popustit uzdu fantazii a jedním dotazem si na API vyžádám kompletní katalog produktů spolu se všemi kategoriemi, k tomu všechny nejprodávanější produkty v kategoriích, k nim jejich značky, k těmto značkám opět všechny produkty se všemi prolinkovanými články, atd., atd. I v případě, že má API do posledního puntíku vyřešen N+1 problém, může takový dotaz způsobit problémy už jen tím, kolik dat musí aplikace v odpovědi přenést.

Jak můžu své API ochránit před přetížením?

Způsobů ochrany GraphQL API existuje několik. V Shopsysu kombinujeme všechny tři níže popsané metody, protože se navzájem pěkně doplňují.

1. Nastavení maximální hloubky dotazu

Na API lze určit, do jaké hloubky je povoleno pokládat dotazy. Stačí prozkoumat dotazy, které v aplikaci máme, najít ten s největším zanořením a toto nastavit jako maximální povolené zanoření. V reálné aplikaci taková hodnota pravděpodobně nebude příliš vysoká. Tímto nastavením lze jednoduše předejít nesmyslně hluboko zanořeným dotazům a odfiltrovat tak primitivní pokusy o přetížení API serveru.

2. Nastavení maximální velikosti stránky

Dalším užitečným a jednoduchým způsobem, jak ztížit útočníkům práci, je nastavení maximální velikosti stránky. Některá data (např. produkty) vrací API stránkovaně a uživatel si může sám říct, kolik záznamů na jednu stránku požaduje. Pokud jako limit použije nějaké hausnumero, může získat jedním dotazem kompletní katalog produktů. Protože ale v naší aplikaci takový scénář nepotřebujeme, můžeme velikost stránky produktů omezit třeba na 12 záznamů a dotazy na vyšší počet budou zamítnuty. Určitě stojí za zmínku, že toto omezení lze nastavit pro každou entitu zvlášť, takže např. pro výpis článků blogu si můžeme tento limit uzpůsobit opět dle skutečných potřeb naší aplikace.

3. Nastavení maximální povolené komplexity dotazu

Předchozí popsané techniky mohou pomoci se zabezpečením API, ale samy o sobě mohou být stále nedostačující. Útočník může sestavit dotaz s jednoduchou strukturou (splní limit pro maximální hloubku dotazu a zároveň nevyžaduje velké množství položek v jedné stránce), ale tento dotaz může být pro aplikaci z nejrůznějších důvodů stále velmi náročný. Je to tím, že pro aplikaci je získávání různých dat různě náročné. GraphQL počítá tzv. komplexitu dotazu sčítáním komplexity jednotlivých polí. Ve výchozím nastavení má každé pole hodnotu komplexity rovnu jedné, ale my víme, že např. dotaz na cenu produktu je náročnější než dotaz na jeho název. Naším úkolem je pak vytipovat všechna tato náročná místa a nastavit jim vyšší hodnotu komplexity. Po ohodnocení všech rizikových polí zkontrolujeme dotazy, které naše aplikace využívá, zjistíme výslednou komplexitu nejnáročnějšího aplikačního dotazu. Na API pak nastavíme, aby dotazy s vyšší komplexitou odmítlo.

Dynamický výpočet komplexity

Jak ve výpočtu komplexity zohlednit počet záznamů? Náročnost dotazu na produkty v kategorii by se měla logicky zvyšovat a snižovat dle toho, kolik produktů API reálně vrací. Toto je možné díky dynamickému výpočtu komplexity, do kterého může vstupovat i nastavení parametrů dotazu, např. tedy i celkový počet prvků, který si uživatel vyžádá. Výpočet pak funguje následovně. U dotazů vracejících kolekce entit si určíme komplexitu jedné položky, a výsledná komplexita je pak vypočítána jako násobek jednotkové komplexity a celkového počtu položek. Například pokud si nastavíme komplexitu pro pole products na hodnotu 5, dotaz products(first:10) bude mít výslednou komplexitu 5*10 = 50, zatímco komplexita dotazu products(first:1) se vyhodnotí jako 5*1 = 5. Pokud počet položek v dotazu nespecifikujeme, násobí se jednotková komplexita výchozím počtem položek, které API vrátí.

Jelikož na našich projektech máme pro API jediného klienta – samotný storefront e-shopu, mohli jsme popisované parametry nastavit dle konkrétních dotazů, které storefront využívá. Tento fakt nám zabezpečení API svým způsobem usnadnil, ale i kdyby API mělo být k dispozici dalším klientům, postup jeho zabezpečení by se v podstatě nezměnil. V takovém případě bychom museli hraniční hodnoty pro maximální hloubku, komplexitu a počet položek na jednu stránku nastavovat dle očekávaných způsobů užití API a případně nastavení upravovat dle relevantní zpětné vazby skutečných uživatelů API.

Sušenka	Délka	Popis
__cfruid	session	This cookie is set by the provider Cloudflare. This cookie is used for load balancing and for identifying trusted web traffic.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Sušenka	Délka	Popis
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_402396_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	16 years 4 months 18 days 16 hours 19 minutes	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.

Sušenka	Délka	Popis
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
c	16 years 4 months 18 days 16 hours 16 minutes	This cookie is set by the Rubicon Project. The exact purpose of the cookie is not known.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
uid	1 year	This cookie is used to measure the number and behavior of the visitors to the website anonymously. The data includes the number of visits, average duration of the visit on the website, pages visited, etc. for the purpose of better understanding user preferences for targeted advertisments.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.

Sušenka	Délka	Popis
guest	1 month	No description available.
jcm	past	No description
jcmc	past	No description
JOTFORM_SESSION	1 month	No description available.
leady_session_id	session	No description available.
S	1 hour	No description available.
theme	1 month	No description available.
userReferer	1 month	No description available.
usources	past	No description
wfont	1 day	No description available.