有人可以通过设置 x-hasura-role 来伪造对 Hasura GraphQL Engine 的请求吗？

Question

如果我理解正确，要使用 JWT 在 hasura 中授权查询或突变，请求本身需要满足一些要求，即：

1. JWT 本身，显示在请求标头中
   Authorization: Bearer <token here>
2. x-hasura-role，出现在请求头中（可选）
   x-hasura-role: user
3. 请求正文中显示的实际查询或突变

myQuery {
  id
  name
  another_field
}

当请求被发送到 hasura 端点时，hasura GraphQL 引擎将尝试

1. 验证 JWT
2. 检查请求头中设置的x-hasura-role的值是否存在于jwt的x-hasura-allowed-role声明中
3. 如果所有条件都满足，那么 GraphQL 引擎会检查从x-hasura-role header 的值分配的角色是否有权限从请求体执行查询

据我了解，这意味着某人可以通过将 x-hasura-role 的值设置为 JWT 的 x-hasura-allowed-roles 声明中存在的其他值来“伪造”对 hasura GraphQL 引擎的请求。例如，如果 x-hasura-allowed-roles 声明是这样的

{
  ...
    'x-hasura-allowed-roles': ['role1','role2'],
    'x-hasura-default-role': 'role1',
    'x-hasura-user-id': username
  }
}

那么这意味着应该只分配给角色 1 的人只能通过将请求中的 x-hasura-role 标头设置为 x-hasura-role: role2 来执行仅限于角色 2 的查询

我的理解正确吗？如果是，那么避免这种情况的最佳方法是什么，因为它似乎是一个安全漏洞？我是否仅将 jwt 的 x-hasura-allowed-roles 声明限制为仅根据我的身份验证服务分配给每个用户的角色？

Answer 1

您的理解似乎是正确的，这不是安全漏洞。

我是否仅将 jwt 的 x-hasura-allowed-roles 声明限制为仅根据我的身份验证服务分配给每个用户的角色？

完全正确。在本文档 (https://hasura.io/docs/1.0/graphql/manual/auth/authentication/jwt.html) 中，关键信息在这里：

解码 JWT，验证签名，然后断言用户的当前角色（如果在请求中指定）在允许的角色列表中。如果请求中未指定当前角色，则应用默认角色。

因此，您的身份验证服务器发布特定于该用户的允许角色（和默认）列表很重要；似乎 Hasura 正在使用此功能支持多角色用户。例如。管理员可能能够使用用户角色“登录”，或者用户角色在应用的不同上下文中可能不同。

对于这些字段的更具体定义：

1. x-hasura-default-role 字段：指示该用户的默认角色，即在未传递 x-hasura-role 标头的情况下将使用的角色。
2. x-hasura-allowed-roles 字段：用户允许的角色列表，即x-hasura-role 标头的可接受值。