Leantime项目任务分配机制中的权限控制问题分析

问题背景

在Leantime项目管理系统中，近期版本(3.2.1)出现了一个重要的权限控制缺陷。该系统设计初衷是通过团队协作来管理项目任务，其中关键的功能点包括任务分配和通知机制。然而，当前版本中存在两个相互关联的核心问题：

1. 任务分配范围失控：在项目任务编辑界面，系统错误地展示了所有注册用户作为可选分配对象，而非仅限于项目团队成员
2. 通知系统越权：用户会收到与其无关项目的通知信息，造成信息干扰和安全隐忧

技术原理分析

从技术架构角度看，这类问题通常源于以下几个层面的缺陷：

后端数据过滤缺失

项目成员关系本应作为数据查询的重要过滤条件。在SQL查询或ORM映射中，应当加入类似WHERE user_id IN (SELECT user_id FROM project_teams WHERE project_id=?)的条件约束。

前端组件权限校验不足

用户选择组件(AssigneeSelector)应当从Redux store或API响应中获取经过过滤的用户列表，而非直接调用获取全部用户的API。

通知系统设计缺陷

事件总线(event bus)或消息队列在分发通知时，未能正确校验接收者与项目的关联关系，导致广播范围过大。

影响评估

该缺陷可能带来多方面的影响：

1. 项目管理混乱：非团队成员可能被错误分配到任务
2. 信息安全隐患：敏感项目信息可能通过通知泄露给无关人员
3. 用户体验下降：用户界面显示不相关选项，造成决策困扰
4. 系统信任度降低：团队成员对系统可靠性的质疑

解决方案建议

针对自托管Docker环境的修复方案应包含以下技术要点：

1. API层增强：

   • 修改/api/tickets/getAllPossibleAssignees端点
   • 增加项目ID参数和关联校验
   • 返回数据前执行权限过滤

2. 前端组件改造：

   • 重构AssigneeDropdown组件
   • 集成项目上下文(ProjectContext)
   • 动态加载过滤后的用户列表

3. 通知系统改进：

   • 在通知分发前增加收件人校验
   • 实现项目-用户关系缓存
   • 添加通知偏好设置

4. 数据库优化：

   • 为project_teams表添加复合索引
   • 考虑使用Redis缓存团队成员关系

实施注意事项

在实施修复时需要特别注意：

1. 向后兼容：确保修改不影响现有任务分配记录
2. 性能考量：成员关系查询可能成为性能瓶颈，需要优化
3. 测试覆盖：应增加集成测试验证跨项目隔离
4. 日志审计：记录权限校验失败的异常情况

总结

Leantime作为开源项目管理系统，其权限控制机制直接关系到核心功能的可靠性。本次分析的任务分配越权问题虽然表面上是UI层的缺陷，但实际上反映了系统在权限边界控制上的整体设计不足。通过实施多层次的技术改进，不仅可以解决当前问题，更能为系统未来的权限模型扩展奠定坚实基础。对于使用自托管版本的用户，建议密切关注官方更新或根据本文建议实施临时修复措施。