Permify权限系统实体查询异常问题分析与修复

问题背景

在Permify权限管理系统中，开发人员发现了一个关于实体查询端点的异常行为。当Schema中包含基于属性值的实体权限定义时，lookup_entity端点会返回未请求的实体类型ID，导致权限检查结果出现偏差。

问题复现

通过以下Schema定义可以复现该问题：

entity user {}

entity aaa {
    relation role__admin @user
    permission ccc__read = role__admin
}

entity bbb {
    relation resource__aaa @aaa
    relation role__admin @user
    attribute attr__is_public boolean
    permission ccc__read = role__admin or attr__is_public
}

entity ccc {
    relation resource__aaa @aaa
    relation resource__bbb @bbb
    permission ccc__read = resource__aaa.ccc__read or resource__bbb.ccc__read
}

当配置了相应的关系元组和属性值后，查询ccc类型实体时，系统错误地返回了bbb类型的实体ID。

技术分析

这个问题本质上是一个权限计算逻辑的缺陷。在权限检查的递归计算过程中，系统未能正确处理属性权限与其他权限类型的组合关系。具体表现为：

1. 当检查ccc实体的ccc__read权限时，系统需要递归检查其关联的aaa和bbb实体的权限
2. 对于bbb实体，其ccc__read权限定义为role__admin or attr__is_public
3. 由于attr__is_public属性为true，系统错误地将bbb实体本身也纳入了最终结果集
4. 实际上，系统应该只返回满足权限条件的ccc类型实体

解决方案

Permify团队在1.2.7版本中修复了这个问题。修复的关键点包括：

1. 改进了权限计算的递归逻辑，确保只返回请求的实体类型
2. 增加了针对属性权限与其他权限组合情况的测试用例
3. 优化了权限计算的边界条件处理

影响范围

该问题会影响以下场景：

• 使用属性权限与其他权限组合定义的Schema
• 涉及多层级权限递归计算的查询
• 使用lookup_entity端点进行权限检查的应用

最佳实践

为避免类似问题，建议开发人员：

1. 为复杂的权限定义编写测试用例
2. 定期更新到最新版本的Permify
3. 在Schema设计时，注意权限计算的边界条件
4. 对于生产环境，建议进行全面测试后再部署

总结

权限系统的正确性对应用安全至关重要。Permify团队快速响应并修复了这个实体查询异常问题，体现了项目对稳定性和正确性的重视。开发人员应及时更新到修复版本(1.2.7及以上)，以确保权限检查的准确性。