Apache APISIX中基于GraphQL请求参数的接口白名单配置方案

背景介绍

在现代API网关Apache APISIX的实际应用中，经常会遇到需要针对GraphQL接口进行精细化权限控制的场景。与传统的REST API不同，GraphQL通常只有一个统一的入口端点，所有请求都发送到同一个URL，通过请求体中的参数来区分不同的操作。这种设计模式给API网关的权限控制带来了新的挑战。

问题分析

在Apache APISIX中配置接口权限时，传统方法通常基于URL路径进行匹配。但对于GraphQL接口，所有请求都指向同一个端点（如/graphql），这使得基于路径的白名单配置方法失效。我们需要一种能够解析GraphQL请求内容并根据操作类型或字段进行权限控制的解决方案。

解决方案

Apache APISIX提供了Serverless插件，可以完美解决这个问题。Serverless插件允许我们在API网关层执行自定义逻辑，包括解析请求内容并做出相应的访问控制决策。

实现原理

1. 请求内容解析：Serverless插件可以获取到完整的GraphQL请求体，从中解析出具体的操作类型（query/mutation/subscription）和请求的字段。

2. 动态权限判断：根据解析出的操作信息，我们可以编写自定义逻辑来判断当前请求是否需要认证。例如，可以将某些查询操作（如公开数据查询）加入白名单，而变更操作（mutation）则需要认证。

3. 条件式认证：基于判断结果，可以动态决定是否跳过认证插件（如JWT、Keycloak等）的执行。

具体实现示例

以下是一个基于Lua脚本的Serverless插件配置示例，用于实现GraphQL请求的动态权限控制：

{
    "serverless": {
        "phase": "access",
        "functions": [
            "return function(conf, ctx)
                local core = require('apisix.core')
                local method = core.request.get_method()
                
                if method == 'POST' then
                    local body = core.request.get_body()
                    local ok, graphql = pcall(core.json.decode, body)
                    
                    if ok and graphql then
                        local query = graphql.query or ''
                        -- 检查是否为白名单中的查询
                        if query:find('publicQuery') then
                            -- 跳过认证
                            ctx.skip_auth = true
                        end
                    end
                end
            end"
        ]
    }
}

最佳实践

1. 白名单管理：建议将白名单操作集中管理，可以使用外部配置或数据库存储，便于动态更新。

2. 性能考虑：GraphQL请求体可能较大，解析时要注意性能影响，可以考虑缓存解析结果。

3. 安全审计：记录所有跳过认证的请求，便于后续安全审计。

4. 组合使用：可以结合其他APISIX插件如limit-req、proxy-cache等，构建完整的GraphQL API保护方案。

总结

通过Apache APISIX的Serverless插件，我们可以灵活地实现基于GraphQL请求内容的动态权限控制。这种方法不仅解决了单一端点的权限控制难题，还为GraphQL API的安全管理提供了更多可能性。在实际应用中，开发团队可以根据具体业务需求和安全要求，定制更精细化的访问控制策略。