Expensify/App项目中的权限管理问题分析与修复

在Expensify/App项目中，我们发现了一个关于工作区权限管理的安全问题。这个问题会导致普通成员用户在被设置为审批人后，意外获得高级别的访问权限。

问题现象

当满足以下条件时，会出现权限异常问题：

1. 用户A被用户B添加为协作者(copilot)
2. 用户C创建一个新工作区并邀请用户A作为普通成员
3. 用户C将工作区的审批流程中的审批人设置为用户A
4. 用户A登录后，意外获得了不应有的权限

技术分析

经过深入调查，我们发现这个问题的根本原因与协作者身份无关，而是与以下两个因素密切相关：

1. 用户创建顺序：当被设置为审批人的用户(用户A)的创建时间早于工作区创建者(用户C)时，问题会被触发
2. 工作区成员数量：当工作区中只有两个成员时，这个问题特别容易出现

在底层实现上，问题出在UpdateWorkspaceApproval函数的处理逻辑中。该函数在更新审批人设置时，错误地完全更新了审批人的角色(role)属性，将其从普通成员提升为高级权限。

修复方案

针对这个问题，我们实施了以下改进措施：

1. 修改了UpdateWorkspaceApproval函数的逻辑，确保它不会更改用户的原始角色设置
2. 增加了权限验证机制，在设置审批人时检查并保持用户的原有权限级别
3. 完善了工作区成员变更时的权限复核流程

影响评估

这个问题属于中等程度的安全性问题，因为它可能导致：

• 非高级权限用户获得不应有的权限
• 潜在的数据访问风险
• 工作区设置被未授权修改

最佳实践建议

为了避免类似问题，我们建议在权限系统设计中：

1. 严格遵循最小权限原则
2. 实现权限变更的记录跟踪
3. 对重要操作进行多重验证
4. 定期进行权限配置的合规性检查

该修复已经过全面测试并确认有效，确保了Expensify/App项目中工作区权限管理的安全性和可靠性。