Apollo Server 4.12.0 版本发布：新增递归查询深度限制功能

项目简介

Apollo Server 是一个开源的 GraphQL 服务器实现，它帮助开发者快速构建生产级别的 GraphQL API。作为 GraphQL 生态中的核心组件之一，Apollo Server 提供了强大的功能集，包括查询执行、类型验证、错误处理等，同时支持与各种数据源和前端框架的无缝集成。

版本亮点

本次发布的 4.12.0 版本主要引入了一个重要的安全性和性能优化功能——递归查询深度限制。这个功能旨在防止恶意或意外的深度嵌套查询可能导致的服务器性能问题。

递归查询深度限制功能详解

在 GraphQL 查询中，客户端可以自由地请求嵌套的数据结构。虽然这是 GraphQL 的强大特性之一，但也可能被滥用。恶意用户可能构造极其复杂的嵌套查询，导致服务器需要处理大量的递归操作，消耗过多的 CPU 和内存资源。

新版本通过引入 maxRecursiveSelections 配置选项来解决这个问题：

1. 默认行为：该功能默认处于关闭状态，保持向后兼容性
2. 启用方式：
   • 简单启用：maxRecursiveSelections=true（使用默认值 10,000,000）
   • 自定义限制：maxRecursiveSelections=<number>（设置特定的最大递归深度）

技术实现原理

该功能通过在 graphql-js 的验证阶段添加一个新的验证规则来实现。当查询到达服务器时：

1. 解析器会分析查询的嵌套结构
2. 计算每个字段的递归深度
3. 如果启用了此功能且深度超过阈值，查询将被拒绝
4. 服务器会返回适当的错误响应，而不会执行潜在的危险查询

性能考量

启用此功能会增加少量的验证开销，但对于大多数应用来说微不足道。这种开销与防止潜在的性能问题相比是值得的。开发者可以根据应用的具体需求调整阈值：

• 对于简单的 API，可以设置较低的阈值（如 1000）
• 对于复杂的数据图，可能需要更高的阈值
• 10,000,000 的默认值适用于绝大多数场景

其他改进

本次发布还包含了一个小的修复：

• 修复了 JSON 解析中间件中双重转义 JSON 时的响应处理问题，确保在发送 400 错误响应后正确终止请求处理流程

升级建议

对于生产环境的应用，建议：

1. 首先在测试环境中评估启用此功能的影响
2. 根据应用的查询模式选择合适的阈值
3. 监控查询拒绝率，确保合法查询不受影响
4. 考虑将此功能与查询成本分析等其他保护措施结合使用

总结

Apollo Server 4.12.0 通过引入递归查询深度限制功能，进一步增强了 GraphQL API 的安全性和稳定性。这一改进特别适合面向公共的 API 或需要防范资源耗尽攻击的场景。开发者现在可以更有效地控制查询复杂度，防止服务器因异常查询而过载。