Supabase Auth Hooks 访问令牌错误问题分析与解决方案

2025-07-07 15:27:05作者：秋泉律Samson

问题背景

在使用Supabase的Auth Hooks功能时，开发者遇到了一个典型的访问令牌生成错误。具体表现为当尝试通过PostgreSQL函数实现自定义RBAC(基于角色的访问控制)时，系统抛出"Error invoking access token hook"错误，并伴随500状态码。

错误现象分析

从错误日志中可以观察到两个关键问题：

数据库查询失败：ERROR: relation "pft" does not exist (SQLSTATE 42P01)
认证声明缺失：403: invalid claim: missing sub claim

根本原因

经过深入分析，这个问题主要由三个层面的因素导致：

权限不足：Auth Hooks执行的PostgreSQL函数默认运行在特定安全上下文下，对自定义表的访问需要显式授权。
表名引用问题：PostgreSQL对表名大小写敏感，当使用大写或混合大小写的表名时，需要正确引用。
安全上下文限制：Supabase的认证钩子在执行时有其特定的权限边界，直接查询用户表可能违反安全模型。

解决方案

方案一：显式授权（推荐）

GRANT ALL ON TABLE public.your_custom_table TO supabase_auth_admin;

这个方案通过明确授予认证管理员角色对目标表的访问权限，从根本上解决了权限不足的问题。

方案二：调整表引用方式

确保在SQL查询中正确引用表名，特别是当表名包含大写字母或特殊字符时：

-- 正确引用表名
SELECT is_admin INTO is_a FROM "PFT" WHERE user_id = (event->>'user_id')::uuid;

方案三：优化Hook函数逻辑

可以重构Hook函数，使其更加健壮：

CREATE OR REPLACE FUNCTION public.handle_auth_hook()
RETURNS jsonb AS $$
DECLARE
    claims jsonb;
    is_admin_flag boolean;
    user_record record;
BEGIN
    -- 安全地检查用户记录是否存在
    SELECT INTO user_record * FROM public.user_roles 
    WHERE user_id = (event->>'user_id')::uuid
    LIMIT 1;
    
    -- 处理记录不存在的情况
    IF NOT FOUND THEN
        RETURN event;
    END IF;
    
    -- 检查管理员标志
    is_admin_flag := user_record.is_admin;
    
    -- 仅当用户是管理员时修改声明
    IF is_admin_flag THEN
        claims := coalesce(event->'claims', '{}'::jsonb);
        
        -- 确保app_metadata存在
        IF jsonb_typeof(claims->'app_metadata') IS NULL THEN
            claims := jsonb_set(claims, '{app_metadata}', '{}'::jsonb);
        END IF;
        
        -- 设置管理员声明
        claims := jsonb_set(claims, '{app_metadata, admin}', 'true'::jsonb);
        
        -- 更新事件中的声明
        event := jsonb_set(event, '{claims}', claims);
    END IF;
    
    RETURN event;
END;
$$ LANGUAGE plpgsql SECURITY DEFINER;