с безопасностью в виде возможности создания открытых запросов со стороны пользователя
Назначение каждому запросу с фронта своего хэша, генерируемого с помощью секретного ключа на этапе компиляции, дало бы возможность это избежать
Кажется, FB делает именно так?
Вообще, API нужно защищать, чтобы абы кто всё подряд не мог писать и читать. Есть инструменты для этого. Например, GraphQL Shield (https://github.com/maticzav/graphql-shield).
Обсуждают сегодня