Grafbase网关0.38.0版本发布：增强型子图安全与数据派生能力

Grafbase是一个开源的GraphQL网关项目，旨在为开发者提供高性能、可扩展的GraphQL API服务。该项目通过聚合多个数据源（子图）并提供一个统一的GraphQL接口，简化了复杂数据系统的构建过程。最新发布的0.38.0版本带来了多项重要改进，特别是在安全配置和数据派生能力方面的增强。

子图级mTLS配置支持

0.38.0版本引入了针对每个子图的独立mTLS（双向TLS）配置能力，这是企业级安全特性的重要补充。mTLS不仅验证服务器身份，还要求客户端提供证书进行身份验证，为服务间通信提供了更强的安全保障。

开发者现在可以为每个子图配置：

• 根CA证书或证书链（通过root.certificate指定路径）
• 客户端身份文件（包含PEM编码的证书和PKCS#8格式私钥）
• 开发环境专用的allow_invalid_certs标志

特别值得注意的是，当使用自签名证书时，证书的SAN（Subject Alternative Name）扩展必须包含主机名信息。此外，私钥格式支持RSA、SEC1椭圆曲线和PKCS#8标准，为不同安全需求提供了灵活性。

增强的@derive指令功能

数据派生是GraphQL API设计中的重要模式，0.38.0版本对@derive指令进行了显著增强：

1. 列表派生支持：现在可以直接派生关联数据集合，例如comments: [Comment!]! @derive会自动根据commentIds列表获取所有关联评论。

2. 显式映射控制：通过结合@is指令，可以实现精确的字段映射控制。例如：

   comments: [Comment!]! @derive @is(field: "commentIds[{ id: . }]")
   

   这种语法特别适合处理复合键场景，如多仓库库存管理系统中的关联查询。

3. 完整功能支持：派生字段现在全面支持skip/include指令、授权规则和连接查询，确保了功能完整性。

查询引擎与核心架构改进

底层查询引擎针对派生字段进行了多项优化：

• 改进了查询计划生成逻辑，确保@is指令定义的派生字段能正确解析
• 增强了序列化/反序列化处理，保证派生字段与原始数据的正确对应
• 完善了skip/include指令在派生上下文中的处理逻辑

这些改进使得派生字段在查询计划中的行为更加可预测，性能更优。

灵活的CORS配置

跨域资源共享(CORS)配置获得了更强大的模式匹配能力：

• 支持glob模式匹配（如https://*.example.com）
• 保持向后兼容的同时，新增"*"通配符支持
• 简化了单一起源的配置语法

这使得API网关能够更灵活地适应各种前端部署场景，从开发环境到生产环境都能提供恰当的跨域策略。

多平台Docker支持

构建系统现在生成了包含arm64架构的Docker镜像，这意味着：

• 开发者可以在苹果M系列芯片的Mac上获得更好的本地开发体验
• 服务器部署可以充分利用ARM架构的能效优势
• 统一了不同硬件平台上的部署体验

总结

Grafbase网关0.38.0版本通过引入子图级mTLS配置、增强的派生字段功能以及灵活的CORS策略，显著提升了安全性和开发体验。这些改进特别适合以下场景：

• 需要严格服务间认证的微服务架构
• 复杂数据关系的GraphQL API设计
• 多环境部署的前后端分离应用

对于现有用户，建议特别关注派生字段新语法带来的简化效果，以及mTLS配置对企业安全合规的帮助。新用户可以借此版本体验现代GraphQL网关在API聚合和安全方面的完整能力。