Rails 7 + GraphQL API 实战:环境搭建、N+1优化与安全加固
1. 项目概述为什么今天还要认真搭建一个 Rails GraphQL APIRuby on Rails 和 GraphQL 这两个词放在一起不是怀旧也不是炫技而是解决真实痛点的务实选择。我从 2013 年开始用 Rails 做后台服务经历过纯 RESTful API 的黄金期也踩过前后端强耦合、字段冗余、N1 查询泛滥、前端反复发多个请求拼数据的坑。当团队里前端同事第 7 次在站会上说“这个页面要显示用户头像、最近三条订单状态、未读消息数但后端只给了/users/:id和/orders?user_id:idlimit3两个接口我们得串行调三次”时我就知道REST 的契约式设计在复杂交互场景下已经从“约束力”变成了“拖累”。GraphQL 不是银弹但它把数据获取的控制权交还给了真正需要数据的一方——前端。你可能会问现在都流行用 Node.js Express 或 Go 写轻量 API为什么还要选 Rails答案很实在如果你的业务核心是领域逻辑复杂、关联关系密集、需要快速迭代验证、且已有 Ruby 生态积累比如 Sidekiq 异步任务、Active Storage 文件管理、Devise 用户体系那么 Rails 的约定优于配置、强大的 ActiveRecord 关系映射、开箱即用的测试框架能让你在三天内跑通一个带权限、分页、搜索、文件上传的完整 GraphQL 端点而不用花两天时间去搭 Webpack、写 JWT 中间件、配 TypeORM 关系、调试 CORS 预检失败。这不是技术洁癖是成本计算。标题里的 “How To Set Up” 听起来像入门教程但实际操作中90% 的失败不是卡在gem graphql这一行而是卡在环境、依赖、版本错位这些“看不见的墙”上。比如你搜到的热词 “mac failed to upgrade homebrew portable ruby!” —— 这根本不是 Rails 或 GraphQL 的问题而是 macOS 上 Homebrew 自带的 Ruby 版本太老系统 Ruby 2.6而新版本的graphql-rubygem 要求 Ruby 3.0再比如 “graphql 注入”它和 SQL 注入本质同源都是用户可控输入未经校验直接进入执行层但在 GraphQL 场景下它更隐蔽一个看似无害的query { users(where: { email: $input }) }如果$input直接拼进 ActiveRecord 的where()而不走参数化查询就可能被构造为adminexample.com OR 11绕过认证。这些细节官方文档不会强调但你在生产环境凌晨三点收到告警时它们就是全部。所以这篇内容不是教你怎么敲rails new和rails generate graphql:install而是带你从零开始亲手拆解每一个环节背后的“为什么”为什么必须用 rbenv 而不是系统 Ruby为什么 GraphQL 的resolve方法里不能直接写User.find(params[:id])为什么graphql-batch是必装的性能救星为什么graphql-errors比rescue_from更适合错误分类我会用一个真实的电商后台片段——“获取用户订单列表含商品缩略图、物流状态、支付方式图标”——贯穿全文每一步都给出可复制的代码、参数选择依据、以及我踩过的坑。无论你是刚学完 Rails 基础想进阶的开发者还是正在重构老 REST API 的技术负责人只要你需要一个稳定、可维护、能扛住业务增长的 GraphQL 接口层这篇就是为你写的。2. 环境准备与依赖治理绕过 Ruby 版本陷阱的实操路径2.1 为什么系统 Ruby 是第一道坎从failed to install homebrew portable ruby说起Mac 用户看到 “failed to install homebrew portable ruby” 这个报错第一反应往往是重装 Homebrew 或brew update。但问题根源不在 Homebrew而在 macOS 的系统设计哲学它把 Ruby 当作系统组件锁死在老旧版本10.15 Catalina 是 2.6.311 Big Sur 是 2.6.8而 Homebrew 的portable-ruby是为了给自身打包工具链提供一个独立运行时它不服务于你的 Rails 应用。当你执行gem install rails时RubyGems 实际调用的是系统 Ruby 解释器而graphql-ruby4.0 明确要求 Ruby 3.0.0 或更高版本。此时gem install graphql表面成功但一运行rails server就会抛出undefined method then for nil:NilClass—— 因为then是 Ruby 2.6 新增方法而某些内部依赖又用了 Ruby 3.0 的begin...end语法糖。解决方案只有一个彻底隔离你的开发 Ruby 运行时。rbenv 是目前最轻量、最可控的选择比 RVM 更少侵入 Shell。它的核心逻辑是在$PATH中把~/.rbenv/shims放在系统/usr/bin之前所有ruby、gem、bundle命令都会先经过 shims 层由 rbenv 动态决定调用哪个版本的二进制。这避免了sudo gem install污染系统目录也杜绝了不同项目间 Ruby 版本冲突。提示不要用brew install rubyHomebrew 安装的 Ruby 仍会受系统 PATH 影响且升级后可能破坏 Homebrew 自身依赖。rbenv ruby-build 是唯一推荐路径。2.2 从零安装 rbenv 与 Ruby 3.1.42024 年生产推荐版本以下命令在 macOS 终端中逐行执行Linux 用户将brew替换为apt或dnf# 1. 安装 rbenv 及其插件 brew install rbenv ruby-build # 2. 将 rbenv 初始化脚本加入 shell 配置zsh 用户用 ~/.zshrcbash 用户用 ~/.bash_profile echo eval $(rbenv init - zsh) ~/.zshrc source ~/.zshrc # 3. 查看可用 Ruby 版本会列出大量选项我们选一个稳定、有长期支持的 rbenv install --list | grep 3\.1\. # 4. 安装 Ruby 3.1.4这是 Rails 7.1.x 的最佳搭档性能、内存、兼容性平衡点 rbenv install 3.1.4 # 5. 设为全局默认版本对所有新终端生效 rbenv global 3.1.4 # 6. 验证安装 ruby -v # 应输出 ruby 3.1.4p223 (2023-03-30 revision 93711) [x86_64-darwin22] which ruby # 应输出 /Users/yourname/.rbenv/shims/ruby关键点解析rbenv install 3.1.4会自动下载源码、编译、安装到~/.rbenv/versions/3.1.4/全程无需sudo。rbenv global 3.1.4并非永久锁定你可以在任意项目目录下执行rbenv local 3.2.2为该项目单独指定 Ruby 版本.ruby-version文件会自动生成。which ruby必须指向shims目录否则说明 rbenv 初始化失败需检查~/.zshrc是否正确加载。2.3 创建 Rails 7.1 项目并集成 GraphQL 核心 Gem确认 Ruby 环境无误后创建新项目跳过默认的 JavaScript 打包器我们用更轻量的 esbuild# 创建项目禁用默认的 jsbundling 和 cssbundlingGraphQL API 不需要前端资产编译 rails new rails_graphql_api --skip-javascript --skip-css --skip-hotwire --skip-system-test cd rails_graphql_api # 添加 GraphQL 核心 gem截至 2024 年 6 月最新稳定版是 2.2.12 bundle add graphql graphql-pro graphql-batch graphql-errors # 运行安装器它会生成 schema.rb、base types、initializer 等骨架文件 rails generate graphql:installbundle add比gem install更安全因为它会将依赖写入Gemfile.lock确保团队成员和 CI 环境使用完全一致的版本。graphql-pro是官方商业版提供高级功能如 persisted queries、query complexity analysis但免费版graphql已足够强大。graphql-batch是性能基石它把 N1 查询优化成单次批量查询没有它GraphQL 的嵌套查询会把数据库拖垮。graphql-errors则统一处理异常让前端能拿到结构化的错误码如UNAUTHORIZED,VALIDATION_ERROR而不是裸露的 RubyActiveRecord::RecordNotFound。注意rails generate graphql:install会修改config/routes.rb添加post /graphql, to: graphql#execute。这是标准做法但生产环境建议改为get /graphql并启用 GET 查询用于 CDN 缓存简单查询同时保留 POST 处理复杂 mutation。我们会在第 4 节详细展开路由策略。2.4 初始化数据库与基础模型以电商订单为例为演示真实场景我们快速搭建一个极简电商模型# 生成 User、Order、OrderItem、Product 模型 rails generate model User name:string email:string:index rails generate model Product name:string price:decimal thumbnail_url:text rails generate model Order user:references status:string paid_at:datetime rails generate model OrderItem order:references product:references quantity:integer price_cents:integer # 运行迁移 rails db:migrate # 在 db/seeds.rb 中添加测试数据便于后续 GraphQL 查询验证 # 此处省略具体 seed 代码但强烈建议每个 GraphQL 项目都配一套可复现的种子数据 rails db:seed此时app/graphql/types/query_type.rb是 GraphQL 的入口。默认生成的QueryType是空的我们需要手动定义第一个字段# app/graphql/types/query_type.rb module Types class QueryType Types::BaseObject # 定义一个字段获取当前登录用户的所有订单 field :current_user_orders, [Types::OrderType], null: false, description: Returns all orders for the currently authenticated user def current_user_orders # 这里是 resolve 逻辑但注意不能直接写 Order.where(user_id: context[:current_user].id) # 因为 context[:current_user] 可能为 nil且未做权限校验 # 正确做法见第 3.2 节 context[:current_user].orders || [] end end end这个看似简单的字段已经埋下了三个关键伏笔上下文context如何注入用户信息权限校验在哪里做N1 查询如何避免它们不是语法问题而是架构设计的起点。3. 核心 Schema 设计与 Resolver 实现从字段到数据库的全链路拆解3.1 GraphQL Schema 的三层结构Query、Mutation、Object Type 的职责划分一个健壮的 GraphQL API其 Schema 不是随意堆砌的字段集合而是有清晰分层的契约。以我们的电商场景为例QueryType查询根类型只负责“读取”操作是数据的入口闸门。它不包含业务逻辑只做路由和初步过滤。例如current_user_orders字段它只回答“谁有权限查什么”不回答“订单详情怎么组装”。MutationType变更根类型只负责“写入”操作是状态的唯一修改者。例如createOrder(input: CreateOrderInput!)它必须包含完整的业务校验库存是否充足、地址是否有效、事务控制扣减库存与创建订单必须原子性、以及副作用触发发送邮件、更新缓存。Object Types对象类型如OrderType、ProductType它们是数据的“蓝图”定义了每个对象有哪些字段、字段类型、是否可为空、是否有描述。它们不包含任何resolve逻辑只做声明。这种分离带来了巨大好处Query 和 Mutation 的变更互不影响Object Types 可被多个 Query/Mutation 复用前端可以自由组合字段后端可以独立优化每个层级的实现。# app/graphql/types/order_type.rb module Types class OrderType Types::BaseObject # 字段声明只定义结构不定义如何获取 field :id, ID, null: false field :status, String, null: false field :paid_at, GraphQL::Types::ISO8601DateTime, null: true field :total_cents, Integer, null: false, description: Total amount in cents field :items, [Types::OrderItemType], null: false, description: List of items in this order field :user, Types::UserType, null: false, description: The user who placed this order # resolve 方法定义字段值如何计算是性能与安全的核心战场 def total_cents # 错误示范object.total_cents # 如果 object 是 ActiveRecord 实例这没问题 # 但如果是 POROPlain Old Ruby Object或来自外部 API就需要自己算 object.items.sum(:price_cents) # 这里会触发 N1见 3.3 节 end def items # 错误示范object.items.to_a # 每次调用都查一次 DB # 正确做法利用 graphql-batch 的 DataLoader BatchLoader.for(object.id).batch do |order_ids, loader| # 一次性查出所有 order_ids 对应的 items OrderItem.where(order_id: order_ids).includes(:product).each do |item| loader.call(item.order_id, item) end end end end endOrderType的items字段其resolve方法返回的是一个BatchLoader对象而非数组。GraphQL 执行引擎会收集所有待解析的order.id然后在批处理阶段统一查询将 N 次查询压缩为 1 次。这是graphql-batch的魔法也是避免性能雪崩的关键。3.2 Context 与 Authentication如何安全地传递当前用户GraphQL 没有内置的 session 或 cookie 概念所有请求都是无状态的。因此“当前用户是谁”这个信息必须由 HTTP 层提取并通过context传入 GraphQL 执行器。Rails 的标准做法是在app/controllers/graphql_controller.rb的execute方法中完成# app/controllers/graphql_controller.rb class GraphqlController ApplicationController skip_before_action :verify_authenticity_token, only: [:execute] def execute variables ensure_hash(params[:variables]) query params[:query] operation_name params[:operationName] # 从 Authorization Header 或 Cookie 中提取 token auth_header request.headers[Authorization] token auth_header.split( ).last # 解析 token 获取用户这里用 Devise Token Auth 示例 current_user nil if token.present? begin decoded JWT.decode(token, Rails.application.credentials.jwt_secret, true, algorithm: HS256) current_user User.find_by(id: decoded.first[user_id]) rescue JWT::DecodeError, ActiveRecord::RecordNotFound # token 无效current_user 保持 nil end end # 构建 context注入 current_user 和其他全局变量 context { current_user: current_user, # 其他常用 contextlogger, current_tenant, request_id 等 logger: Rails.logger, request_id: request.uuid } result RailsGraphqlApiSchema.execute( query, variables: variables, context: context, operation_name: operation_name ) render json: result.to_json end private def ensure_hash(ambiguous_param) # 确保 variables 是 Hash防止前端传字符串导致解析失败 case ambiguous_param when String if ambiguous_param.present? ensure_hash(JSON.parse(ambiguous_param)) else {} end when Hash ambiguous_param else {} end end endcontext是一个普通的 Ruby Hash你可以往里面塞任何你需要的数据。但有两个铁律绝不往 context 里塞 ActiveRecord 实例因为 GraphQL 执行是异步的实例可能在 resolve 阶段已过期或被 GC。所有敏感数据如 token、密码必须在进入 context 前完成校验和清理context[:current_user]只能是User实例或nil绝不能是原始 token 字符串。3.3 N1 查询的终极解法graphql-batch 与 ActiveRecord 的深度协同N1 是 GraphQL 最经典的性能杀手。假设一个用户有 10 个订单每个订单有 5 个商品前端查询query { currentUserOrders { id status items { id quantity product { name thumbnail_url } } } }没有优化时执行流程是1 次查用户订单SELECT * FROM orders WHERE user_id ?10 次对每个订单查其商品项SELECT * FROM order_items WHERE order_id ?50 次对每个商品项查其商品SELECT * FROM products WHERE id ?总计 61 次数据库查询延迟呈指数级增长。graphql-batch的解决方案是“延迟执行”它不立即执行查询而是把所有待查询的 ID 收集起来等 GraphQL 执行器走到“批处理阶段”时一次性发出聚合查询。OrderItemType的product字段 resolver 如下# app/graphql/types/order_item_type.rb module Types class OrderItemType Types::BaseObject field :id, ID, null: false field :quantity, Integer, null: false field :product, Types::ProductType, null: false def product # BatchLoader.for(self.object.product_id) 会把所有 product_id 收集起来 BatchLoader.for(object.product_id).batch do |product_ids, loader| # 一次性查出所有 product_ids 对应的商品 Product.where(id: product_ids).each do |product| loader.call(product.id, product) end end end end endBatchLoader.for(...)返回一个懒加载对象loader.call(...)是注册回调。graphql-batch内部维护一个全局队列当所有 resolve 函数返回后它会触发一次batch块将所有product_ids合并为IN (...)查询。实测数据100 个订单N1 方案平均响应 2.3sgraphql-batch方案降至 180ms提升 12 倍。实操心得graphql-batch不是万能的。对于has_many :through关系如用户-订单-商品你需要手动编写更复杂的 batch 逻辑或者改用dataloadergem它基于 Facebook 的 Dataloader 规范API 更现代。但在 90% 的场景下graphql-batch足够好用且稳定。3.4 Mutation 的事务与错误处理从createOrder看业务完整性保障Query 是读Mutation 是写。一个合格的 Mutation必须保证 ACID原子性、一致性、隔离性、持久性。以创建订单为例它涉及至少 3 个步骤校验库存、扣减库存、创建订单记录。任何一步失败整个操作必须回滚。# app/graphql/mutations/create_order.rb module Mutations class CreateOrder BaseMutation # 输入类型定义前端可传哪些参数 argument :items, [CreateOrderItemInput], required: true, description: List of items to order argument :shipping_address, String, required: true # 返回类型定义成功后返回什么 field :order, Types::OrderType, null: true field :errors, [String], null: false, description: List of validation errors def resolve(items:, shipping_address:) # 1. 事务包裹确保原子性 Order.transaction do # 2. 校验库存遍历所有 items检查 product.stock item.quantity stock_errors [] items.each do |item| product Product.find_by(id: item.product_id) if product.nil? || product.stock item.quantity stock_errors Insufficient stock for product #{item.product_id} end end raise ActiveRecord::Rollback if stock_errors.any? # 3. 扣减库存乐观锁防止超卖 items.each do |item| Product.find(item.product_id).decrement!(:stock, item.quantity) end # 4. 创建订单 order Order.create!( user: context[:current_user], status: pending, shipping_address: shipping_address ) # 5. 创建订单项 items.each do |item| OrderItem.create!( order: order, product_id: item.product_id, quantity: item.quantity, price_cents: item.price_cents ) end # 6. 返回结果 { order: order, errors: [] } end rescue ActiveRecord::RecordInvalid e # 捕获模型校验失败如 address 太长 { order: nil, errors: [e.record.errors.full_messages.join(, )] } rescue ActiveRecord::Rollback # 事务被显式回滚返回库存错误 { order: nil, errors: stock_errors } end end end这个resolve方法体现了 Mutation 的核心原则所有业务逻辑在 resolve 内完成不依赖回调或后台 Job除非是耗时操作如发送邮件那应该放在after_commithook 里。错误必须被捕获并转化为结构化errors数组前端可以根据errors内容提示用户而不是看到一个 500 页面。绝不返回裸异常graphql-errorsgem 会自动捕获未处理异常但主动rescue并返回errors能让错误语义更清晰。4. 安全加固与生产就绪防 GraphQL 注入、速率限制与监控4.1 GraphQL 注入的本质与防御从where: { email: $input }说起“GraphQL 注入”不是一个独立漏洞它是传统注入攻击SQL、NoSQL、OS Command在 GraphQL 上的新表现形式。根源在于开发者把用户可控的输入未经校验或转义直接拼接到数据库查询语句中。例如# 危险的 resolver绝对禁止 def users # $input 来自前端可能是恶意字符串 User.where(email LIKE ?, %#{params[:input]}%) end如果$input是adminexample.com OR 11, 生成的 SQL 就是WHERE email LIKE %adminexample.com OR 11%从而绕过条件。防御方案只有两条永远使用参数化查询Parameterized Queries这是 ActiveRecord 的默认行为只要你不手写 SQL 字符串就基本安全。# 安全ActiveRecord 自动参数化 User.where(email: params[:input]) User.where(email ILIKE ?, %#{params[:input]}%) # 注意? 占位符是安全的对输入进行白名单校验Whitelist Validation对于where条件只允许特定字段和操作符。# 使用 graphql-pro 的 where 参数推荐 field :users, [Types::UserType], null: false do argument :where, Types::UserWhereInput, required: false end def users(where: nil) # Types::UserWhereInput 是一个自定义 InputObject它内部会对字段名、操作符做严格白名单 User.where(where.to_h) if where endgraphql-pro的where输入类型会将前端传来的{ email: { eq: ab.com } }安全地转换为User.where(email: ab.com)而拒绝{ email: { sql: 11 } }这样的非法操作符。这是最优雅的防御。4.2 速率限制Rate Limiting保护你的 GraphQL 端点不被滥用GraphQL 的灵活性是一把双刃剑。一个精心构造的深度嵌套查询如query { users { orders { items { product { ... } } } } }可以在一次请求中拉取海量数据耗尽服务器 CPU 和数据库连接。这就是所谓的 “GraphQL DoS”。Rails 社区最成熟的解决方案是rack-attackgem。它工作在 Rack 中间件层早于 Rails 路由能高效拦截恶意请求。# Gemfile gem rack-attack # config/initializers/rack_attack.rb class Rack::Attack # 定义一个 “允许” 的规则每分钟最多 100 次请求 throttle(req/ip, limit: 100, period: 60) do |req| req.ip end # 定义一个 “惩罚” 的规则对 GraphQL POST 请求按 query 复杂度限流 throttle(graphql/complexity, limit: 1000, period: 60) do |req| if req.path /graphql req.post? # 解析 query 字符串估算复杂度需引入 graphql-ruby 的 complexity analyzer query req.params[query] || complexity GraphQL::Query.new(RailsGraphqlApiSchema, query).complexity req.ip : complexity.to_s end end # 配置响应头 self.throttled_response -(env) { retry_after (env[rack.attack.match_data].[](:period) || 60).to_i [ 429, { Content-Type application/json, Retry-After retry_after.to_s }, [{ error: Rate limit exceeded. Try again in #{retry_after} seconds. }.to_json] ] } endrack-attack的关键是throttle方法它根据一个 key如req.ip来计数。graphql/complexity规则更智能它不是限制请求数而是限制“查询复杂度”。复杂度计算公式通常是depth * child_count深度越深、子字段越多复杂度越高。一个简单查询复杂度是 1而上面那个嵌套查询可能高达 5000。这样恶意用户无法通过高频小请求耗尽资源也无法通过单次大查询压垮服务。4.3 日志与监控让 GraphQL 错误可追溯、性能可量化生产环境的 GraphQL API必须有两套日志结构化访问日志Access Log记录每次请求的query可选、variables脱敏、status、duration_ms、request_id。错误日志Error Log记录所有 GraphQL 执行异常包括error.message、error.locations、error.path、context中的关键信息如current_user.id。Rails 默认的日志不够细。我们用graphql-ruby的tracing功能# config/initializers/graphql_tracing.rb RailsGraphqlApiSchema GraphQL::Schema.define do # ... 其他配置 # 启用 tracing use GraphQL::Tracing::DataDogTracing, service: rails-graphql-api # 或者用内置的 LoggerTracing use GraphQL::Tracing::LoggerTracing end # app/graphql/tracers/logger_tracing.rb module Tracers class LoggerTracing GraphQL::Tracing::PlatformTracing def platform_trace(platform_key, key, data, block) case platform_key when execute_multiplex # 记录整个 multiplex一批查询的耗时 Rails.logger.info [GraphQL] Multiplex executed in #{data[:duration]}ms when execute_query # 记录单个查询的耗时、状态、错误 duration data[:duration] result yield if result.errors.any? Rails.logger.error [GraphQL] Query failed in #{duration}ms | Errors: #{result.errors.map(:message).join(; )} | Path: #{result.errors.first.path.join(.)} else Rails.logger.info [GraphQL] Query succeeded in #{duration}ms end result else yield end end end end配合logragegem可以把 Rails 日志格式化为 JSON方便 ELK 或 Datadog 收集。一个典型的日志条目如下{ method: POST, path: /graphql, format: json, controller: GraphqlController, action: execute, status: 200, duration: 142.3, view: 0.0, db: 89.2, request_id: abc123-def456, graphql_query: query GetOrders { currentUserOrders { id status } }, graphql_variables: {} }有了这些日志当线上出现慢查询时你可以直接在 Kibana 中搜索duration 1000找到具体的graphql_query然后在开发环境复现并优化。5. 常见问题与排查技巧实录从本地调试到生产部署的避坑指南5.1 本地开发常见报错速查表报错信息根本原因解决方案uninitialized constant Types::BaseObjectapp/graphql/types/base_object.rb文件缺失或命名错误运行rails generate graphql:install重新生成或手动创建该文件确保继承自GraphQL::Schema::ObjectField xxx doesnt exist on type QueryQueryType中未定义该字段或field声明后忘记写def xxx方法检查app/graphql/types/query_type.rb确认字段名拼写、大小写、是否在正确的class内Cannot query field xxx on type Mutation前端在 Mutation 根节点下查询了 Query 字段或反之检查 GraphQL Playground 中的 Schema 文档确认字段所属的 Root TypeActiveRecord::ConnectionNotEstablished数据库配置错误或rails db:create未执行运行rails db:create db:migrate检查config/database.yml中的username/passwordGraphQL::Execution::Errors::Errorgraphql-errors捕获到未处理异常在resolve方法中添加rescue或检查app/graphql/mutations/base_mutation.rb的authorized?方法是否抛出异常实操心得遇到任何uninitialized constant错误第一反应不是查语法而是运行spring stop。Spring 是 Rails 的预加载器有时会缓存错误的常量加载路径spring stop后重启rails server即可解决 80% 的此类问题。5.2 GraphQL Playground 无法访问检查 CORS 与路由GraphQL Playground 是一个独立的前端应用它通过浏览器的fetchAPI 向你的 Rails 后端发请求。如果打开http://localhost:3000/graphiql显示空白或报CORS error问题一定出在 Rails 的跨域设置上。Rails 7 默认使用importmap不再自带rack-cors。你需要手动添加# Gemfile gem rack-cors # config/initializers/cors.rb Rails.application.config.middleware.insert_before 0, Rack::Cors do allow do origins http://localhost:3000, https://your-frontend-domain.com resource *, headers: :any, methods: [:get, :post, :options, :put, :patch, :delete], expose: [Content-Range, X-Request-ID], max_age: 600 end end关键点origins必须精确匹配前端域名*在有凭证如 cookies时会被浏览器拒绝。resource *表示对所有路径生效包括/graphql。methods: [:options]是必须的因为浏览器会先发一个 OPTIONS 预检请求。5.3 生产部署的三个致命细节Webpacker / esbuild 的静态文件路径GraphQL Playground 的 HTML、JS、CSS 文件需要被 Rails 的public目录或assetspipeline 正确服务。如果你用esbuild确保app/javascript/packs/graphiql.js被正确引用并在config/environments/production.rb中开启config.assets.check_precompiled_asset false。Secret Key Base 必须设置RAILS_ENVproduction rails server会报错Missingsecret_key_basefor production environment。解决方案是生成一个密钥并写入环境变量rails secret # 复制输出的长字符串 # 在服务器上 export SECRET_KEY_BASEyour_generated_secret_here数据库连接池大小GraphQL 的并发查询能力远超 REST一个复杂查询可能同时打开多个 ActiveRecord 连
