GraphQL 安全治理（复杂度限制、深度限制与持久化查询）

GraphQL 安全治理（复杂度限制、深度限制与持久化查询）概述GraphQL 灵活但易被滥用。采用复杂度与深度限制、持久化查询与鉴权/限流可降低风险。关键实践与参数深度限制：设置最大深度（如 8–12）；拒绝超限请求。复杂度计算：为字段设权重与最大复杂度（如 1000）；按查询动态评估。持久化查询：仅允许预登记的哈希查询；关闭任意文本查询以防注入与资源放大。速率与缓存：对高成本查询限流与缓存；鉴权与作用域校验。验证方法模拟深度与复杂度超限；应返回明确错误并记录审计。对热门查询进行缓存与限流压测；观察稳定性与性能收益。关闭 introspection（按需）并验证开发/生产环境策略差异。注意事项安全策略需与开发体验平衡；为调试保留受控入口。字段权重与复杂度模型需随业务迭代调整。对订阅与实时查询单独设限与告警。