SlideShare a Scribd company logo

Современный graphql на бекенде и фронтенде. Тестирование, секьюрити, новые возможности

Download as PPTX, PDF
Mad Devs, profile picture
Mad Devs

Документ описывает современный подход к использованию GraphQL на фронтенде и бекенде, подчеркивая его преимущества перед REST, включая гибкость в запросах и возможность работы с несколькими источниками данных одновременно. Также рассматриваются методы тестирования, безопасности и новые возможности, в основном сосредотачиваясь на потребностях клиента и функциональности современного пользовательского интерфейса. Приведены примеры кода и стратегии для управления запросами и структурой данных в GraphQL.

Software
1 of 31
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Mad Talks #1 2018 Современный graphql на бекенде и фронтенде. Тестирование, секьюрити, новые возможности Александр Вишняков и Улукбек Джунусов
Что такое graphql сейчас? ● Это фронтенд ориентированный интерфейс ● Не уступает REST ● Гибкость в получении данных (YAGNI) https://ru.wikipedia.org/wiki/YAGNI ● Возможность разграничивать доступ на уровне вложенных запросов (реализуется в каждом случае по разному) пока нет встроенного механизма. ● Возможность производить несколько запросов различных не связанных данных в одном HTTP запросе! (с REST такого не получится) ● Большинство нововведений коснулись фронтенд части! (и это правильно! Клиент сейчас становится многофункциональным).
REST недостатки :( ● REST - сложно указывать бекенду, что нужно включить ● в ответ, а что нет. ● Можно использовать нестандартный параметр ( json-server ) /users?_extends=role ● Разные схемы построения запросов (Flat rest, Long train rest) ● Flat rest - /resource или /resource/:id ● Long train rest - /user/1/favorites/1/detail или /posts/1/comments/1/likes/1/description…. Ту ту ту ту ту
GraphQL - запрос
GraphQL запрос данных из разных (не связанных) коллекций за один раз
GraphQL resolvers Это основа всех запросов в Graphql - при помощи резолверов, извлекаются данные из БД и передаются пользователю
Scalar Types Int, String и так далее… Но можно создать собственные и тоже так же через резолверы объявить
Graphql модели const Role = ` type Role { id: Int! name: String! permissions(first: PaginationAmount, after: String, filter: RolePermissionFilter): PermissionPaginated! @cost(multipliers: ["first"], complexity: 2) } `; module.exports = Role;
Graphql Input types const UpdateUser = ` input UpdateUser { id: Int! patch: CreateUser } `; module.exports = UpdateUser; updateUser(input: UpdateUser!): UserEdgeconst CreateUser = ` input CreateUser { name: String email: String roleId: Int password: String } `; module.exports = CreateUser;
GraphQL model = Уровень презентации (Presentation Layer) ● Модели graphql отличаются от моделей в БД ● При помощи резолверов можно объединять данные вместе ● Выдавать данные в понятной и удобной форме ● Ограничивать поля видимые пользователю (при этом не нужно использовать какие либо мапперы для удаления)
GraphQL модель = разделяй и властвуй ● Древовидная структура зависимостей модели. ● Отсутствие толстых/перегруженных моделей. ● Возможность разграничивать доступы на каждую вложенную зависимость модели. (будь это профиль пользователя или его фин. данные и т.д.)
Тестирование npm test ● Я использую supertest + jest для интеграционных тестов или e2e тестов ● Запуск тестов производится параллельно ● Для каждого Jest worker’a создается своя sqlite база данных. ● Для каждого Jest worker’a поднимается инстанс сервера на рандомном порту. ● Перед каждым тестом очищаются данные в БД.
Тестирование npm test Структура папки с тестами: Envs - кастомное окружение для поднятия сервера Expectations - вынесены проверки с использованием expect.objectContaining Factories - папка с фабриками для создания той или иной сущности в БД с использованием faker.js. Mutations/Queries - объявления запросов и мутаций
Тестирование npm test Фабрика для создания одиночной сущности User
Тестирование npm test ● Фабрика для создания нескольких сущностей User ● Задействуется фабрика для создания одиночной сущности User
Тестирование npm test Пример из папки expectations При этом в ответе могут содержаться другие поля (locations) и так далее, но expect.objectContaining позволяет проверить только нужные поля и их контент, expect.arrayContaining позволяет пройтись по массиву объектов и выполнить проверки для каждого объекта в массиве
Тестирование npm test Пример интеграционного теста
Тестирование npm test Пример очистки БД с использованием средств Sequelize ORM
GraphQL Security ● Что ожидает тех кто связался с graphql ○ В основном это различного вида DDoS (отказ в обслуживании) ● Как достигается? ○ Отправкой серверу данных огромного размера ○ Создание запросов заставляющих вернуть огромное кол-во данных (что занимает значительные ресурсы сервера). Манипуляция параметрами пагинации. ○ Запросы с большой вложенностью (путем рекурсивного обращения к зависимостям)
GraphQL Security ● Как бороться? ○ Проверка длины входного запроса и в случае превышения лимита не передавать его на парсинг. this.app.use('*', this.queryLengthLimiter);
GraphQL Security Проверкой глубины вложенности npm пакет graphql-depth-limit const depthLimit = require('graphql-depth-limit');
GraphQL Security
GraphQL Security С использованием пакета graphql-cost-analysis для анализа веса запроса const costAnalysis = require('graphql-cost-analysis').default;
GraphQL Security
GraphQL Security
GraphQL Security Использовать Custom Scalar Types для установки лимитов при валидации параметров запроса (пагинация)
GraphQL Security С использованием пакета graphql-input-number
GraphQL Security Принцип белого листа возможных легитимных запросов Используется библиотека persistgraphql { "scripts": { "postbuild": "persistgraphql src api/query-whitelist.json" } } if (!whitelist[query]) { throw new Error('Query is not in whitelist.'); }
GraphQL Security {"query getUserById($id: Int!) {n user(id: $id) {n cursorn node {n idn namen emailn role {n idn namen }n }n }n}n":1}
Новые возможности В основном реализованы на клиенте и это верно, так как клиент более функционален чем бекенд в наше время. И тем более что все чаще приходят к BaaS, Serverless архитектуре. Это появление <Query>, <Mutation>, <Subscription> компонентов в react- apollo, которые теперь учитывают жизненный цикл реакт компонента и намного упрощают тестирование и запрос данных.
Вопросы?

More Related Content

PDF
специализированные http-демона (Сергей Боченков, Александр Панков)
Ontico
 
PDF
Андрей Лузин
CodeFest
 
PDF
Артем Титаренко
CodeFest
 
PDF
Денис Трифонов
CodeFest
 
PDF
Bosun современный мониторинг / Дима Медведев (OneTwoTrip)
Ontico
 
PPTX
Использование Mock-объектов в TDD на платформе .NET
Pavel Treshnikov
 
PDF
Ivan Kotlyar. PostgreSQL in web applications
DrupalSib
 
PDF
Python Development process in Yandex
aviatakz
 
специализированные http-демона (Сергей Боченков, Александр Панков)
Ontico
 
Андрей Лузин
CodeFest
 
Артем Титаренко
CodeFest
 
Денис Трифонов
CodeFest
 
Bosun современный мониторинг / Дима Медведев (OneTwoTrip)
Ontico
 
Использование Mock-объектов в TDD на платформе .NET
Pavel Treshnikov
 
Ivan Kotlyar. PostgreSQL in web applications
DrupalSib
 
Python Development process in Yandex
aviatakz
 

What's hot (19)

PPT
Serge P Nekoval Grails
rit2010
 
PDF
kranonit S11E01 Андрей Пономарёв: Тренинг по TDD в Java
Krivoy Rog IT Community
 
PDF
Профилирование кода на C/C++ в *nix системах
Aleksander Alekseev
 
PDF
«Микросервисы наносят ответный удар!» Олег Чуркин, Rambler&Co
it-people
 
PPTX
JS Fest 2019. Игорь Березин и Николай Крещенко. Эволюция архитектуры многогра...
JSFestUA
 
PDF
«Тотальный контроль производительности» Михаил Юматов, ЦИАН
it-people
 
PDF
Сага о кластере. Все что вы хотели знать про горизонтальное масштабирование в...
Ontico
 
PPTX
Андрей Зайчиков "Архитектура распределенных кластеров NoSQL на AWS"
IT Event
 
PDF
Иван Кожин «Saritasa Tools или ещё один подход к архитектуре приложения»
SpbDotNet Community
 
PPT
МАПО 2013 Лекция 04 Фабрика Blockly
Олег Гудаев
 
PPT
МАПО 2013 Лекция 03 Программирование Blockly
Олег Гудаев
 
POTX
Разработка надежных параллельных, распределенных приложений: быстро и дешево
DotNetConf
 
PPTX
Пишем свою платформу для управления данными. Это очень просто / Суханов Васил...
Ontico
 
PPTX
Apex OOP Patterns (Valery Dvornichenko)
Yury Bondarau
 
PDF
Александр Саитов «Основы профилирования и оптимизации приложений в .NET»
SpbDotNet Community
 
PDF
Как приручить реактивное программирование
DotNetConf
 
PDF
PostgreSQL в высоконагруженных проектах
Alexey Vasiliev
 
PDF
Олег Бартунов и Иван Панченко
CodeFest
 
PDF
Павел Прищепа - Drupal хостинг полного цикла
DrupalSPB
 
Serge P Nekoval Grails
rit2010
 
kranonit S11E01 Андрей Пономарёв: Тренинг по TDD в Java
Krivoy Rog IT Community
 
Профилирование кода на C/C++ в *nix системах
Aleksander Alekseev
 
«Микросервисы наносят ответный удар!» Олег Чуркин, Rambler&Co
it-people
 
JS Fest 2019. Игорь Березин и Николай Крещенко. Эволюция архитектуры многогра...
JSFestUA
 
«Тотальный контроль производительности» Михаил Юматов, ЦИАН
it-people
 
Сага о кластере. Все что вы хотели знать про горизонтальное масштабирование в...
Ontico
 
Андрей Зайчиков "Архитектура распределенных кластеров NoSQL на AWS"
IT Event
 
Иван Кожин «Saritasa Tools или ещё один подход к архитектуре приложения»
SpbDotNet Community
 
МАПО 2013 Лекция 04 Фабрика Blockly
Олег Гудаев
 
МАПО 2013 Лекция 03 Программирование Blockly
Олег Гудаев
 
Разработка надежных параллельных, распределенных приложений: быстро и дешево
DotNetConf
 
Пишем свою платформу для управления данными. Это очень просто / Суханов Васил...
Ontico
 
Apex OOP Patterns (Valery Dvornichenko)
Yury Bondarau
 
Александр Саитов «Основы профилирования и оптимизации приложений в .NET»
SpbDotNet Community
 
Как приручить реактивное программирование
DotNetConf
 
PostgreSQL в высоконагруженных проектах
Alexey Vasiliev
 
Олег Бартунов и Иван Панченко
CodeFest
 
Павел Прищепа - Drupal хостинг полного цикла
DrupalSPB
 
Ad

Similar to Современный graphql на бекенде и фронтенде. Тестирование, секьюрити, новые возможности (20)

PDF
IT-инфраструктура. FAQ для разработчика
Mikhail Chinkov
 
PDF
20111002 information retrieval raskovalov_lecture3
Computer Science Club
 
PDF
#RuPostges в Yandex, эпизод 3. Что же нового в PostgreSQL 9.6
Nikolay Samokhvalov
 
PDF
Cравнительный анализ хранилищ данных (Олег Царев, Кирилл Коринский)
Ontico
 
PDF
PostgreSQL: вчера, сегодня, завтра, Олег Бартунов, Postgres Professional, Мо...
it-people
 
ODP
Scaling PostgreSQL
Дмитрий Васильев
 
PDF
GCP для работы с большими данными
HOWWEDOIT
 
PDF
кри 2014 elastic search рациональный подход к созданию собственной системы а...
Vyacheslav Nikulin
 
PDF
Последние новости постгреса с PGCon / О.Бартунов, А.Коротков, Ф.Сигаев (Postg...
Ontico
 
PPTX
Разработка Web-приложений на Angular JS. Архитектурные семинары Softengi
Softengi
 
PPTX
Software craftsmanship 12 online highload systems
Pavel Veinik
 
PDF
2015-12-06 Антон Тарасенко - Ваш следующий сервис будет асинхронным
HappyDev
 
PDF
Java 9: what is there beyond modularization
Ivan Krylov
 
PPT
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
SQALab
 
PPT
Grails. Поиски закончены.
nekoval
 
PPTX
Dmytro Nemesh "Building the perfect infrastructure with Kubernetes"
Fwdays
 
PPTX
Что такое Postgresql (Максим Богук)
Ontico
 
PDF
Максим Богук. Postgres-XC
PostgreSQL-Consulting
 
PDF
Эксперименты с Postgres в Docker и облаках — оптимизация настроек и схемы ва...
Nikolay Samokhvalov
 
PDF
От Make к Ansible
Ivan Grishaev
 
IT-инфраструктура. FAQ для разработчика
Mikhail Chinkov
 
20111002 information retrieval raskovalov_lecture3
Computer Science Club
 
#RuPostges в Yandex, эпизод 3. Что же нового в PostgreSQL 9.6
Nikolay Samokhvalov
 
Cравнительный анализ хранилищ данных (Олег Царев, Кирилл Коринский)
Ontico
 
PostgreSQL: вчера, сегодня, завтра, Олег Бартунов, Postgres Professional, Мо...
it-people
 
Scaling PostgreSQL
Дмитрий Васильев
 
GCP для работы с большими данными
HOWWEDOIT
 
кри 2014 elastic search рациональный подход к созданию собственной системы а...
Vyacheslav Nikulin
 
Последние новости постгреса с PGCon / О.Бартунов, А.Коротков, Ф.Сигаев (Postg...
Ontico
 
Разработка Web-приложений на Angular JS. Архитектурные семинары Softengi
Softengi
 
Software craftsmanship 12 online highload systems
Pavel Veinik
 
2015-12-06 Антон Тарасенко - Ваш следующий сервис будет асинхронным
HappyDev
 
Java 9: what is there beyond modularization
Ivan Krylov
 
Как hh.ru дошли до 500 релизов в квартал без потери в качестве
SQALab
 
Grails. Поиски закончены.
nekoval
 
Dmytro Nemesh "Building the perfect infrastructure with Kubernetes"
Fwdays
 
Что такое Postgresql (Максим Богук)
Ontico
 
Максим Богук. Postgres-XC
PostgreSQL-Consulting
 
Эксперименты с Postgres в Docker и облаках — оптимизация настроек и схемы ва...
Nikolay Samokhvalov
 
От Make к Ansible
Ivan Grishaev
 
Ad

More from Mad Devs (20)

PPTX
Держите одеяло у себя: как общаться с кандидатом и узнавать все, что вам инте...
Mad Devs
 
PPTX
Дружелюбнй онбординг: как с увеличением количества не потерять качество
Mad Devs
 
PPTX
Mad Stream: Software Architecture 101.
Mad Devs
 
PPTX
Mad Stream: Соло-прокачка мобильного разработчика. Спикер - Айбек Ногоев.
Mad Devs
 
PDF
Mad Stream - 7 habits of highly awesome developers. Speaker - Anatoliy Fedorenko
Mad Devs
 
PDF
Mad Stream: "Что можно напечатать на 3d принтере, помимо еще одного 3d принте...
Mad Devs
 
PDF
Maв Stream: "Факт карты на службек у ПМа", спикер – Дмитрий Кононенко
Mad Devs
 
PDF
Лайфхаки менеджмента на удаленке от Дмитрия Кононенко
Mad Devs
 
PDF
Mad Talks. Astashov_splitbrain
Mad Devs
 
PPTX
Flutter vs Native App Development
Mad Devs
 
PDF
Mad Talks. Marketing tips for tech companies
Mad Devs
 
PDF
The paradox of choice in design
Mad Devs
 
PDF
Git and Github for Beginners
Mad Devs
 
PDF
How to hire freelancers
Mad Devs
 
PDF
Ethereum blockchain
Mad Devs
 
PDF
"Outside In". Web application testing.
Mad Devs
 
PDF
Asynchrony in python exists and why should you use it
Mad Devs
 
PDF
Ethereum: аспекты разработки смарт-контрактов
Mad Devs
 
PDF
Why we sleep. Michael Ivashenko
Mad Devs
 
PDF
Удаленное управление приложением и его аналитика
Mad Devs
 
Держите одеяло у себя: как общаться с кандидатом и узнавать все, что вам инте...
Mad Devs
 
Дружелюбнй онбординг: как с увеличением количества не потерять качество
Mad Devs
 
Mad Stream: Software Architecture 101.
Mad Devs
 
Mad Stream: Соло-прокачка мобильного разработчика. Спикер - Айбек Ногоев.
Mad Devs
 
Mad Stream - 7 habits of highly awesome developers. Speaker - Anatoliy Fedorenko
Mad Devs
 
Mad Stream: "Что можно напечатать на 3d принтере, помимо еще одного 3d принте...
Mad Devs
 
Maв Stream: "Факт карты на службек у ПМа", спикер – Дмитрий Кононенко
Mad Devs
 
Лайфхаки менеджмента на удаленке от Дмитрия Кононенко
Mad Devs
 
Mad Talks. Astashov_splitbrain
Mad Devs
 
Flutter vs Native App Development
Mad Devs
 
Mad Talks. Marketing tips for tech companies
Mad Devs
 
The paradox of choice in design
Mad Devs
 
Git and Github for Beginners
Mad Devs
 
How to hire freelancers
Mad Devs
 
Ethereum blockchain
Mad Devs
 
"Outside In". Web application testing.
Mad Devs
 
Asynchrony in python exists and why should you use it
Mad Devs
 
Ethereum: аспекты разработки смарт-контрактов
Mad Devs
 
Why we sleep. Michael Ivashenko
Mad Devs
 
Удаленное управление приложением и его аналитика
Mad Devs
 

Современный graphql на бекенде и фронтенде. Тестирование, секьюрити, новые возможности

  • 1. Mad Talks #1 2018 Современный graphql на бекенде и фронтенде. Тестирование, секьюрити, новые возможности Александр Вишняков и Улукбек Джунусов
  • 2. Что такое graphql сейчас? ● Это фронтенд ориентированный интерфейс ● Не уступает REST ● Гибкость в получении данных (YAGNI) https://ru.wikipedia.org/wiki/YAGNI ● Возможность разграничивать доступ на уровне вложенных запросов (реализуется в каждом случае по разному) пока нет встроенного механизма. ● Возможность производить несколько запросов различных не связанных данных в одном HTTP запросе! (с REST такого не получится) ● Большинство нововведений коснулись фронтенд части! (и это правильно! Клиент сейчас становится многофункциональным).
  • 3. REST недостатки :( ● REST - сложно указывать бекенду, что нужно включить ● в ответ, а что нет. ● Можно использовать нестандартный параметр ( json-server ) /users?_extends=role ● Разные схемы построения запросов (Flat rest, Long train rest) ● Flat rest - /resource или /resource/:id ● Long train rest - /user/1/favorites/1/detail или /posts/1/comments/1/likes/1/description…. Ту ту ту ту ту
  • 6. GraphQL resolvers Это основа всех запросов в Graphql - при помощи резолверов, извлекаются данные из БД и передаются пользователю
  • 7. Scalar Types Int, String и так далее… Но можно создать собственные и тоже так же через резолверы объявить
  • 8. Graphql модели const Role = ` type Role { id: Int! name: String! permissions(first: PaginationAmount, after: String, filter: RolePermissionFilter): PermissionPaginated! @cost(multipliers: ["first"], complexity: 2) } `; module.exports = Role;
  • 9. Graphql Input types const UpdateUser = ` input UpdateUser { id: Int! patch: CreateUser } `; module.exports = UpdateUser; updateUser(input: UpdateUser!): UserEdgeconst CreateUser = ` input CreateUser { name: String email: String roleId: Int password: String } `; module.exports = CreateUser;
  • 10. GraphQL model = Уровень презентации (Presentation Layer) ● Модели graphql отличаются от моделей в БД ● При помощи резолверов можно объединять данные вместе ● Выдавать данные в понятной и удобной форме ● Ограничивать поля видимые пользователю (при этом не нужно использовать какие либо мапперы для удаления)
  • 11. GraphQL модель = разделяй и властвуй ● Древовидная структура зависимостей модели. ● Отсутствие толстых/перегруженных моделей. ● Возможность разграничивать доступы на каждую вложенную зависимость модели. (будь это профиль пользователя или его фин. данные и т.д.)
  • 12. Тестирование npm test ● Я использую supertest + jest для интеграционных тестов или e2e тестов ● Запуск тестов производится параллельно ● Для каждого Jest worker’a создается своя sqlite база данных. ● Для каждого Jest worker’a поднимается инстанс сервера на рандомном порту. ● Перед каждым тестом очищаются данные в БД.
  • 13. Тестирование npm test Структура папки с тестами: Envs - кастомное окружение для поднятия сервера Expectations - вынесены проверки с использованием expect.objectContaining Factories - папка с фабриками для создания той или иной сущности в БД с использованием faker.js. Mutations/Queries - объявления запросов и мутаций
  • 14. Тестирование npm test Фабрика для создания одиночной сущности User
  • 15. Тестирование npm test ● Фабрика для создания нескольких сущностей User ● Задействуется фабрика для создания одиночной сущности User
  • 16. Тестирование npm test Пример из папки expectations При этом в ответе могут содержаться другие поля (locations) и так далее, но expect.objectContaining позволяет проверить только нужные поля и их контент, expect.arrayContaining позволяет пройтись по массиву объектов и выполнить проверки для каждого объекта в массиве
  • 18. Тестирование npm test Пример очистки БД с использованием средств Sequelize ORM
  • 19. GraphQL Security ● Что ожидает тех кто связался с graphql ○ В основном это различного вида DDoS (отказ в обслуживании) ● Как достигается? ○ Отправкой серверу данных огромного размера ○ Создание запросов заставляющих вернуть огромное кол-во данных (что занимает значительные ресурсы сервера). Манипуляция параметрами пагинации. ○ Запросы с большой вложенностью (путем рекурсивного обращения к зависимостям)
  • 20. GraphQL Security ● Как бороться? ○ Проверка длины входного запроса и в случае превышения лимита не передавать его на парсинг. this.app.use('*', this.queryLengthLimiter);
  • 21. GraphQL Security Проверкой глубины вложенности npm пакет graphql-depth-limit const depthLimit = require('graphql-depth-limit');
  • 23. GraphQL Security С использованием пакета graphql-cost-analysis для анализа веса запроса const costAnalysis = require('graphql-cost-analysis').default;
  • 26. GraphQL Security Использовать Custom Scalar Types для установки лимитов при валидации параметров запроса (пагинация)
  • 27. GraphQL Security С использованием пакета graphql-input-number
  • 28. GraphQL Security Принцип белого листа возможных легитимных запросов Используется библиотека persistgraphql { "scripts": { "postbuild": "persistgraphql src api/query-whitelist.json" } } if (!whitelist[query]) { throw new Error('Query is not in whitelist.'); }
  • 29. GraphQL Security {"query getUserById($id: Int!) {n user(id: $id) {n cursorn node {n idn namen emailn role {n idn namen }n }n }n}n":1}
  • 30. Новые возможности В основном реализованы на клиенте и это верно, так как клиент более функционален чем бекенд в наше время. И тем более что все чаще приходят к BaaS, Serverless архитектуре. Это появление <Query>, <Mutation>, <Subscription> компонентов в react- apollo, которые теперь учитывают жизненный цикл реакт компонента и намного упрощают тестирование и запрос данных.