Zammad项目中检查清单功能权限缺陷分析与修复

在Zammad开源客服系统的最新版本中，开发团队发现并修复了一个关于检查清单功能的权限相关缺陷。该缺陷会影响系统对受限访问票务状态的正确统计，导致检查清单中显示不准确的完成状态。

问题现象

当系统用户查看包含其他票务引用的检查清单时，如果用户对某些被引用的票务没有访问权限，系统会错误地将这些不可访问的票务统计为"已完成"状态。这种错误统计仅发生在移动端或旧版界面中，而桌面端则能正确显示实际状态。

技术背景

Zammad的检查清单功能允许用户创建包含多个票务引用的任务列表，用于跟踪复杂工作流程。系统通过API获取每个被引用票务的状态信息，并在前端界面中汇总显示完成进度。权限控制系统本应确保用户只能获取有权限访问的票务数据。

缺陷根源分析

经过代码审查，发现问题出在状态统计逻辑层：

1. 权限验证与状态统计存在逻辑分离
2. 移动端接口未正确处理403(禁止访问)响应
3. 状态统计服务将"无法获取"错误默认为"已完成"

这种设计缺陷导致系统在遇到权限受限的票务时，不是跳过统计或标记为未知，而是错误地计入已完成数量。

修复方案

开发团队通过以下方式解决了该问题：

1. 重构状态统计服务，明确区分"无权限"和"已完成"状态
2. 统一移动端和桌面端的统计逻辑
3. 添加专门的权限检查中间件
4. 在前端界面中明确显示无权限访问的项目

影响评估

该修复涉及以下方面：

• 用户界面：确保所有终端显示一致的统计结果
• API响应：正确处理权限受限情况
• 性能影响：额外的权限检查可能增加少量开销

最佳实践建议

对于类似权限与统计结合的功能，建议：

1. 明确区分数据不可用的不同原因(无权限vs不存在)
2. 设计统一的错误处理机制
3. 在前端提供清晰的用户反馈
4. 编写全面的权限相关测试用例

该修复已包含在Zammad的最新版本中，用户升级后即可获得正确的检查清单统计功能。