Graphql Schema Analyzer — Graphql 模式分析器

GraphQL Schema Analyzer 分析GraphQL模式以查找性能瓶颈、安全漏洞、查询复杂性问题和最佳实践。检测N+1解析器模式、循环引用、过度查询深度、缺失授权和模式设计反模式。 用法 “分析我的GraphQL模式以查找问题” “检查我的解析器中的N+1查询” “审计GraphQL授权和安全” “优化我的GraphQL模式性能” 工作原理

• 模式发现

# 查找模式文件 find . -name ".graphql" -o -name ".gql" -o -name "schema.ts" -o -name "typeDefs" | head -20 # 查找解析器文件 find . -name "resolver" -o -name "resolvers" | head -20 # 检查模式优先还是代码优先 grep -rn "buildSchema\|makeExecutableSchema\|@ObjectType\|@Field" src/ 2>/dev/null | head -10

• 模式分析

类型设计：可空字段与不可空字段（默认为不可空，选择可空） 接口和联合类型的正确使用 枚举类型与字符串字段 输入类型与重用输出类型 Relay风格的分页（连接）与偏移分页 正确的ID类型 命名约定：类型使用PascalCase，字段使用camelCase 一致的动词前缀用于变更（创建/更新/删除） 查询名称反映其返回值 输入类型命名（CreateUserInput，而不是UserInput）

• 性能分析

N+1查询检测：列出单独获取相关数据的解析器 缺失DataLoader用于批量查找 嵌套解析器触发单独的数据库查询 查询复杂性：返回大列表而没有分页的字段 嵌套类型超过4级 没有缓存的昂贵计算字段 缺失查询深度/复杂性限制 解析器效率：从数据库中过度获取数据（当只需要2个字段时使用SELECT ） 缺失字段级解析器（当部分解析器足够时解析整个对象） 同一数据的冗余解析器调用

• 安全审计

授权：没有授权检查的字段/变更 在解析器级别与指令级别的授权 生产环境中启用了introspection 暴露敏感字段（电子邮件、电话、内部ID） 拒绝服务：没有查询深度限制 没有查询复杂性限制 没有速率限制 循环引用允许无限深度查询 别名允许查询乘法 没有限制的批量查询 数据泄露：错误消息暴露内部细节 生产环境中的堆栈跟踪 生产环境中的字段建议（您是指X？）

• 最佳实践

遗弃注释在遗留字段上 类型和字段上的描述/文档 正确的错误处理（用户错误与系统错误） 订阅效率（pub/sub与轮询） 模式拼接/联邦的最佳实践 版本控制策略（GraphQL中没有版本控制——演化模式） 输出

GraphQL模式分析

类型： 34 | 查询： 12 | 变更： 18 | 订阅： 3

🔴 严重（3）

• User.posts解析器中的N+1 — resolvers/user.ts:23

每个用户在列表查询中触发单独的帖子查询 → 实现DataLoader：批量用户ID → 单个查询

• 没有查询深度限制 — server.ts

允许查询无限嵌套 → 添加深度限制插件（最大8-10级）

• 生产环境中启用了introspection — server.ts:15

任何人都可以完全发现模式 → 禁用生产环境：introspection: process.env.NODE_ENV !== 'production'

🟡 警告（5）

• 3个变更没有授权中间件
• User.email暴露没有字段级授权
• posts查询返回无边界列表（没有分页）
• 循环引用：User → Posts → Author → Posts
• 5个遗弃字段没有迁移时间表

📊 模式指标

• 平均类型大小：6.2个字段
• 最深嵌套：7级（User → Posts → Comments → Author → ...）
• 最大类型：Order（18个字段 — 考虑拆分）
• 未文档化类型：12/34（35%）

✅ 良好实践

• 主要集合上的Relay风格分页
• 通过自定义标量（Email、DateTime）进行输入验证
• 多态返回的适当联合类型
• 错误联合模式用于类型错误处理