GraphQL 作为下一代 Web API 技术，被越来越多的开发者用在生产环境中，但因为 GraphQL 和 RESTful 在开发思路上的不同，很容易让开发者忽视它的安全问题。本次演讲会对 GraphQL 进行一些简介，主要从开发的角度讲解使用 GraphQL 容易出现的安全问题。

内容大纲：

1、GraphQL 简介

• 初识 GraphQL
• GraphQL 核心组成部分
• GraphQL VS. RESTful

2、GraphQL 安全问题

• 身份认证与权限控制不当
• GraphQL 身份认证无效
• GraphQL 身份认证无效解决方案
• GraphQL 身份认证无效与权限控制不当的并发症
  并发症一：内省导致的信息泄露
  并发症二： 非预期的字段
• GraphQL 注入解决方案
  拒绝服务
  拒绝服务解决方案

3、结语

听众收益：

1、了解前沿技术 GraphQL 优势和 RESTful API 的不同

2、对 GraphQL 易发的安全问题有所了解并在今后开发过程中避免此类问题

3、对漏洞产生的原理触类旁通，避免类似问题