Hasura GraphQL Engine中REST端点请求体未传递至认证Webhook的问题分析

问题背景

在使用Hasura GraphQL Engine的REST端点功能时，开发者发现当配置了POST模式的认证Webhook后，REST请求的正文内容未被正确传递至认证Webhook服务。这一现象特别影响需要验证请求正文完整性的场景，例如处理Stripe等第三方服务的Webhook请求。

技术细节分析

预期行为

根据Hasura的文档描述，当配置认证Webhook时，GraphQL Engine应当将完整的请求信息（包括请求头和请求体）传递给认证服务。这对于需要验证请求完整性的场景至关重要，例如：

1. 验证Stripe Webhook签名时需要原始请求体
2. 实现基于请求内容的复杂认证逻辑
3. 审计和日志记录需求

实际观察到的行为

在实际使用中发现以下异常现象：

1. 对于直接GraphQL请求，认证Webhook能正确接收请求体
2. 对于REST端点请求，认证Webhook接收到的请求体为null
3. 虽然请求头中包含Content-Length等字段，但实际请求体缺失

配置验证

Hasura提供了专门的配置参数来控制是否发送请求体至认证Webhook：

1. 服务器标志：--auth-hook-send-request-body
2. 环境变量：HASURA_GRAPHQL_AUTH_HOOK_SEND_REQUEST_BODY

当这些参数设置为true时，理论上应该能够解决请求体传递问题。然而实际测试表明：

1. 该配置对GraphQL请求有效
2. 对REST端点请求仍然无效

影响范围

这一问题主要影响以下使用场景：

1. 需要验证请求完整性的第三方服务集成（如Stripe、PayPal等Webhook）
2. 基于请求内容实现复杂业务逻辑的认证流程
3. 需要完整请求信息进行审计或日志记录的系统

临时解决方案

目前开发者可以采用以下临时解决方案：

1. 对于关键业务逻辑，避免使用REST端点功能
2. 实现专门的中间件服务处理需要请求体的认证逻辑
3. 考虑使用Hasura的Actions功能作为替代方案

技术建议

对于遇到此问题的开发者，建议：

1. 明确区分GraphQL请求和REST端点请求的认证需求
2. 在开发环境中充分测试认证流程
3. 关注Hasura的版本更新，该问题可能会在后续版本中修复

总结

Hasura GraphQL Engine在处理REST端点请求时存在请求体未传递至认证Webhook的问题，这影响了需要完整请求信息的认证场景。虽然相关配置参数对GraphQL请求有效，但对REST端点请求仍需等待官方修复。开发者需要根据实际业务需求选择合适的临时解决方案。