PocketBase中设置verified字段的注意事项

背景介绍

PocketBase是一个开源的实时后端服务，提供了用户认证、数据库管理等功能。在用户认证系统中，verified字段通常用于标记用户是否已经通过验证。在PocketBase的不同版本中，处理这个字段的方式有所变化。

版本差异

在PocketBase v0.22.19版本中，开发者可以通过onRecordBeforeCreateRequest钩子直接设置verified字段为true。这种方式在早期版本中是可行的，代码示例如下：

onRecordBeforeCreateRequest((e) => {
    if (e.httpContext.get("admin")) {
        return;
    }
    e.record.set("verified", true)
}, "users");

然而，在v0.23.4版本中，同样的操作会导致验证错误：

{
    "data": {
        "verified": {
            "code": "validation_values_mismatch",
            "message": "Values don't match."
        }
    },
    "message": "Failed to create record.",
    "status": 400
}

原因分析

这个变化源于v0.23版本对钩子执行顺序的调整。在v0.23中，onRecordCreateRequest钩子会在表单请求验证之前触发。这意味着：

1. 直接修改verified字段会绕过系统的验证逻辑
2. 系统会检测到字段值被非法修改，从而抛出验证错误

解决方案

正确的做法是使用数据库钩子来修改verified字段，例如onRecordCreate钩子。这个钩子在验证通过后执行，不会触发验证错误。

onRecordCreate((e) => {
    if (e.hasSuperuserAuth()) {
        return;
    }
    e.record.set("verified", true)
}, "users");

安全考虑

虽然技术上可以修改verified字段，但从安全角度考虑，不建议随意修改这个字段：

1. 该字段与OAuth2认证流程紧密相关
2. 绕过验证可能导致安全问题
3. 如果verified字段在业务逻辑中没有实际用途，最好忽略它而不是修改它

最佳实践

1. 尽量避免直接修改系统内置的认证相关字段
2. 如果确实需要修改，使用正确的钩子并在验证后操作
3. 考虑使用自定义字段而不是修改系统字段
4. 充分测试修改后的认证流程

通过理解这些变化和注意事项，开发者可以更好地在PocketBase中处理用户认证相关的操作。