Hasura项目中多对多关系权限配置的深度解析

2025-05-04 16:48:40作者：宣聪麟

在GraphQL API开发中，权限控制是一个至关重要的环节。本文将以Hasura项目为例，深入探讨在多对多关系场景下如何正确配置权限规则，特别是针对用户-工作空间这种常见业务模型。

业务模型分析

典型的用户-工作空间多对多关系通常包含以下数据结构：

用户表(users)：存储用户基本信息，主键为user_id
工作空间表(workspaces)：存储工作空间信息，主键为workspace_id
关联表(users_workspaces)：作为中间表建立多对多关系，包含复合主键(workspace_id, user_id)和角色字段workspace_role_id

角色通常分为三级：

1：普通用户
2：开发者
3：管理员

常见权限配置误区

许多开发者在配置此类权限时，容易采用类似以下的规则：

{
    "_or": [
        {
            "id": {
                "_eq": "X-Hasura-User-Id"
            }
        },
        {
            "users_workspaces": {
                "workspace": {
                    "users_workspaces": {
                        "_and": [
                            {
                                "user_id": {
                                    "_eq": "X-Hasura-User-Id"
                                }
                            },
                            {
                                "workspace_role_id": {
                                    "_eq": 3
                                }
                            }
                        ]
                    }
                }
            }
        }
    ]
}

这种配置的本意是：

允许用户查看自己的信息
允许工作空间管理员查看该工作空间的所有用户

但实际上存在严重问题：当用户在一个工作空间拥有管理员权限时，该规则会错误地允许其查看所有工作空间的用户，而不仅限于其管理的工作空间。

问题根源分析

导致这一问题的根本原因在于权限规则的逻辑结构。原规则中的嵌套查询没有正确限定工作空间范围，导致权限检查变成了"用户是否是任意工作空间的管理员"，而非"用户是否是当前查询工作空间的管理员"。

正确的权限配置方案

要实现正确的权限控制，需要重构权限规则，确保管理员权限仅限于其管理的工作空间内。以下是改进后的方案：

{
    "_or": [
        {
            "id": {
                "_eq": "X-Hasura-User-Id"
            }
        },
        {
            "users_workspaces": {
                "workspace": {
                    "users_workspaces": {
                        "user_id": {
                            "_eq": "X-Hasura-User-Id"
                        },
                        "workspace_role_id": {
                            "_eq": 3
                        }
                    }
                }
            }
        }
    ]
}