---

title: GraphQL 安全治理（复杂度限制、深度限制与持久化查询）

keywords:

• GraphQL 安全
• 复杂度限制
• 深度限制
• 持久化查询
• 速率限制

description: 通过复杂度与深度限制、持久化查询与速率治理保障 GraphQL 的稳定性与安全性，并提供验证方法。

date: 2025-11-26

categories:

• 文章资讯
• 技术教程

---

GraphQL 安全治理（复杂度限制、深度限制与持久化查询）

概述

GraphQL 灵活但易被滥用。采用复杂度与深度限制、持久化查询与鉴权/限流可降低风险。

关键实践与参数

• 深度限制：设置最大深度（如 8–12）；拒绝超限请求。
• 复杂度计算：为字段设权重与最大复杂度（如 1000）；按查询动态评估。
• 持久化查询：仅允许预登记的哈希查询；关闭任意文本查询以防注入与资源放大。
• 速率与缓存：对高成本查询限流与缓存；鉴权与作用域校验。

验证方法

• 模拟深度与复杂度超限；应返回明确错误并记录审计。
• 对热门查询进行缓存与限流压测；观察稳定性与性能收益。
• 关闭 introspection（按需）并验证开发/生产环境策略差异。

注意事项

• 安全策略需与开发体验平衡；为调试保留受控入口。
• 字段权重与复杂度模型需随业务迭代调整。
• 对订阅与实时查询单独设限与告警。