Pothos项目中跨Schema调用时的权限缓存问题

在使用Pothos构建GraphQL服务时，开发者可能会遇到一个不易察觉但影响重大的权限缓存问题。这个问题通常出现在需要在一个Schema的解析器中直接调用另一个Schema的查询时，特别是在使用auth-scopes插件进行权限控制的情况下。

问题现象

假设我们有两个Pothos构建的Schema：SchemaA和SchemaB，它们都配置了不同的权限规则。当在SchemaA的某个解析器中直接调用SchemaB的查询时，SchemaB的权限检查可能会错误地使用SchemaA缓存的权限结果。

问题根源

这个问题源于Pothos的权限缓存机制。Pothos内部使用了一个全局缓存，以context对象作为缓存键。当我们在一个Schema的解析器中直接调用另一个Schema时，如果传递相同的context对象，第二个Schema会错误地重用第一个Schema的缓存结果。

技术细节

Pothos的auth-scopes插件内部实现了一个请求缓存机制，这个缓存使用context对象作为键。当跨Schema调用时，如果使用相同的context对象，就会导致权限检查结果被错误地共享。

解决方案

推荐解决方案

最可靠的解决方案是在跨Schema调用时创建一个新的context对象：

export const getUserInfo = async (userId: string, ctx: Context) => {
  return await graphql({
    schema,
    source: `...`,
    variableValues: { userId },
    contextValue: {
      ...ctx, // 创建新的context对象
    },
  });
};

高级控制方案

对于需要更精细控制的情况，可以使用Pothos提供的context缓存初始化功能：

const newContext = {
  ...originalContext,
  [Symbol.for('Pothos.initContextCache')]: true,
};

这种方法可以显式地控制缓存的初始化和作用范围。

最佳实践

1. 在跨Schema调用时，始终创建新的context对象
2. 对于复杂的权限场景，考虑使用独立的权限服务
3. 在测试中特别关注跨Schema调用的权限行为
4. 考虑在项目文档中记录这种特殊情况的处理方式

总结

这个问题的特殊性在于它不会导致明显的错误，而是会静默地使用错误的权限检查结果。理解Pothos的缓存机制对于构建可靠的GraphQL服务至关重要，特别是在复杂的多Schema场景下。通过创建新的context对象或显式初始化缓存，可以确保权限检查的正确性。