Grafbase网关0.26.0版本发布：WebSocket连接初始化负载转发与可信文档渐进式采用

Grafbase是一个开源的GraphQL网关项目，旨在为开发者提供高性能、可扩展的GraphQL API服务。作为GraphQL查询的统一入口，Grafbase网关负责处理客户端请求，并将其路由到相应的后端服务（子图）。最新发布的0.26.0版本带来了两项重要改进：WebSocket连接初始化负载的转发功能，以及可信文档的渐进式采用策略。

WebSocket连接初始化负载转发

在GraphQL over WebSocket协议中，客户端建立WebSocket连接后发送的第一个消息通常是connection_init。这个初始化消息包含一个可选的payload字段，用于传递连接相关的元数据。在传统的HTTP请求中，这类信息（如认证令牌）通常放在请求头中；而在WebSocket场景下，它们则通过这个payload传递。

0.26.0版本之前，Grafbase网关不会将这些初始化负载转发给处理订阅的子图服务。这导致了一些依赖这些信息的后端服务无法正常工作。新版本默认启用了这一转发功能，开发者可以通过配置显式关闭：

[websockets]
forward_connection_init_payload = false

这一改进使得基于WebSocket的GraphQL订阅能够获得与HTTP请求相同的认证和上下文信息，为实时数据场景提供了更好的支持。

可信文档的渐进式采用策略

可信文档（Trusted Documents）是Grafbase提供的一项安全功能，它要求所有执行的GraphQL查询必须预先注册为可信文档，通过ID引用执行，而不是直接发送原始查询。这可以有效防止潜在的恶意查询。

在之前的版本中，当配置为trusted_documents.enabled = true且trusted_documents.enforced = false（审计模式）时，如果请求中包含的文档ID不存在，即使提供了内联查询，网关也会返回错误。这不利于组织逐步迁移到可信文档模式。

0.26.0版本改进了这一行为：在审计模式下，当找不到指定ID的可信文档但请求中包含内联查询时，网关会使用内联查询继续处理请求，而不是直接失败。这种"软过渡"机制使得团队可以：

1. 先启用审计日志，观察哪些查询尚未注册为可信文档
2. 逐步将常用查询注册为可信文档
3. 最终切换到强制执行模式（enforced = true）

这种渐进式采用策略大大降低了可信文档功能的采用门槛，使组织能够在不中断现有服务的情况下逐步提升GraphQL API的安全性。

总结

Grafbase网关0.26.0版本的这两项改进分别针对了实时数据订阅和安全查询执行两个重要场景。WebSocket负载转发增强了订阅功能的实用性，而可信文档的渐进式采用则使安全功能的落地更加平滑。这些更新体现了Grafbase项目对开发者体验和安全性的持续关注，为构建生产级GraphQL服务提供了更强大的基础。