Si tienes APIs de GraphQL existentes o planeas construirlas en el futuro, únete a nosotros para una sesión de 5 minutos en la que te mostraremos cómo asegurarlas rápidamente utilizando Tyk.
This talk has been presented at GraphQL Galaxy 2020, check out the latest edition of this Tech Conference.
Tyke es una plataforma que ofrece seguridad integral para APIs, incluyendo mecanismos de autorización y aseguramiento de esquemas sin necesidad de complementos adicionales. Ofrece funcionalidades como permisos basados en campos y límites de profundidad de consulta para proteger contra ataques de denegación de servicio.
En Tyke, se puede agregar autorización haciendo un proxy a un servicio de GraphQL existente y luego configurando la autorización a través de la plataforma. Esto se demuestra en el panel de control de Tyke, donde se configura el token de autenticación y se establecen políticas de seguridad.
Tyke soporta varias formas de autenticación, incluyendo tokens de autenticación, TLS mutuo, OAuth 2.0, y JOTS, lo que permite una adaptación flexible a diferentes requerimientos de seguridad.
Los permisos basados en campos se configuran durante la creación de políticas en Tyke, donde se puede especificar qué campos no deben ser accesibles para los usuarios de una política determinada, asegurando así que solo usuarios autorizados tengan acceso a información específica.
El límite de profundidad de consulta es una configuración de seguridad en Tyke que ayuda a prevenir ataques de denegación de servicio al limitar la profundidad máxima de las consultas GraphQL. Se configura estableciendo un valor máximo en la sección de políticas cuando se cubre una API específica.
Una vez creada una política de seguridad en Tyke, se puede generar una clave de API asociada a esa política. Esta clave se utiliza luego en el encabezado de autorización de las solicitudes para acceder a la API asegurada, como se demostró en el playground de Tyke.
En esta charla relámpago, exploraremos cómo asegurar tus puntos finales de GraphQL en cinco minutos utilizando Tyke. Abordaremos problemas como agregar autorización, asegurar el esquema y protegernos contra ataques de denegación de servicio. Tyke proporciona seguridad completa, eliminando la necesidad de complementos adicionales. Demostraremos el proceso asegurando la API de países de TrevorBlades a través del proxy de Tyke.
Entonces, yendo directo al grano, dado que tenemos un tiempo limitado, veamos algunos problemas que vamos a resolver al asegurar GraphQL. El primero es agregar autorización. Agregar rápidamente mecanismos de autorización, asegurar el esquema, asegurándonos de que solo usuarios específicos tengan acceso a campos específicos, y también ver cómo protegernos contra ataques de denegación de servicio. ¿Cómo lo hacemos? Bueno, tenemos seguridad completa, que es una frase que nos gusta usar en Tyke para decir que todo lo que está dentro de nuestra puerta de enlace está incluido. No hay complementos ni nada de eso que necesites agregar. Y para eso, lo vamos a agregar directamente. Luego, como parte de eso, vamos a agregar permisos basados en campos para asegurar el esquema, y también vamos a agregar límites de profundidad de consulta para esos ataques de denegación de servicio.
Veamos cómo funciona. Vamos a ir directamente a ello. Voy a salir de esto. Y aquí estoy en el panel de control de Tyke. Lo primero que voy a hacer es mostrarte lo que quiero asegurar. Hay esta API de países de TrevorBlades, una API de GraphQL, que en este momento está completamente abierta. Y puedo acceder a ella. No hay seguridad, ningún tipo de seguridad en absoluto. Lo que voy a hacer es hacer un proxy a través de Tyke y luego asegurarlo usando Tyke. Voy a copiar esto. Esto es como si fuera tu API. Vienes a Tyke y vamos a APIs. Agregar nueva API. La voy a llamar countries. Es una API de GraphQL. Vamos a hacer un proxy a un servicio de GraphQL existente, y verás que tengo la URL de países de TrevorBlades ahí. Ahora, en este punto, aunque no lo creas, ya tenemos algo de autorización incorporada. Ahora hemos hecho un proxy a ella. Si voy al playground, que está integrado en Tyke, y ejecuto, si simplemente oculto esto aquí, ocultar controles de reunión. Si vengo aquí y copio esta consulta, y vuelvo aquí y ejecuto esta consulta, verás que dice que falta el campo de autorización.
Soportamos varios modos de autenticación como tokens de autenticación, TLS mutuo, OAuth 2.0 y JOTS. Para acceder a la API, es necesario generar claves y crear una política. La política incluye configuraciones para limitar la velocidad, el throttle y la profundidad de la consulta. Se pueden establecer permisos basados en campos para restringir el acceso a campos específicos. Por último, se agregan claves a la política y se puede acceder al playground de proxy de GraphQL a través de la API.
¡Eso es genial! Eso significa que ya estamos aplicando un token de autenticación. ¿Dónde se especifica eso? Bueno, en nuestra configuración aquí abajo. Soportamos varias cosas diferentes, pero hoy vamos a usar tokens de autenticación solo por brevedad. También soportamos TLS mutuo, OAuth 2.0, JOTS, todos esos buenos modos de autenticación.
Para acceder a esto ahora, necesito generar algunas claves. Para tener claves, necesito crear una política. Vamos a guardar esto. Vamos a ir a políticas, que está aquí en la esquina. Agregar política. Voy a cubrir mi API de países. Vamos a ir a configuraciones aquí. Solo voy a llamar a esta política de países. Las claves que genero nunca van a caducar. Luego, voy a ir a derechos de acceso, y hay algunas cosas que vamos a hacer. Para establecer límites y cuotas por API, voy a activar esto. Esto nos permitiría aplicar límites de velocidad, throttle, cuotas de uso, todas esas cosas. No nos preocuparemos por eso hoy.
Lo que nos preocupa aquí es el límite de profundidad de consulta. Lo que voy a hacer es establecer la profundidad máxima de la consulta en cinco. Te lo demostraré en un momento. Con eso, ahora se aplicará. También voy a establecer permisos basados en campos para no permitir que ninguno de mis usuarios de esta política acceda. Como puedes ver, puedes ver todos los tipos disponibles a través de esta API, así como todos los campos individualmente. No quiero que tengan acceso al código de continente o al código de país. Luego voy a crear la política. Ahí vamos. La política ha sido creada, y ahora voy a ir a claves. Voy a agregar una clave para esta política, crear clave, y con eso, mi clave está creada. Ahora, si vuelvo a APIs, voy a abrir en una nueva pestaña, voy a ir a países, que es nuestro playground de proxy de GraphQL creado.
We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career
GraphQL Galaxy 2021
Vue.js London Live 2021
GraphQL Galaxy 2021
GraphQL Galaxy 2022
GraphQL Galaxy 2021
GraphQL Galaxy 2022
GraphQL Galaxy 2021
Node Congress 2024
React Advanced 2022GraphQL Galaxy 2022
React Summit 2022GraphQL Galaxy 2020
Comments