package user import ( "context" "regexp" "strings" "time" "perms-system-server/internal/consts" authHelper "perms-system-server/internal/logic/auth" "perms-system-server/internal/middleware" userModel "perms-system-server/internal/model/user" "perms-system-server/internal/response" "perms-system-server/internal/svc" "perms-system-server/internal/types" "perms-system-server/internal/util" "github.com/zeromicro/go-zero/core/logx" "golang.org/x/crypto/bcrypt" ) var usernameRegexp = regexp.MustCompile(`^[a-zA-Z0-9_]{2,64}$`) type CreateUserLogic struct { logx.Logger ctx context.Context svcCtx *svc.ServiceContext } func NewCreateUserLogic(ctx context.Context, svcCtx *svc.ServiceContext) *CreateUserLogic { return &CreateUserLogic{ Logger: logx.WithContext(ctx), ctx: ctx, svcCtx: svcCtx, } } // CreateUser 创建用户。新建系统用户账号,可指定部门归属。超管或当前产品 ADMIN 可调用。 // 注意:产品 ADMIN 创建的用户为系统级用户,不自动加入任何产品,需通过 AddMember 接口手动关联。 func (l *CreateUserLogic) CreateUser(req *types.CreateUserReq) (resp *types.IdResp, err error) { productCode := middleware.GetProductCode(l.ctx) if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil { return nil, err } caller := middleware.GetUserDetails(l.ctx) if caller == nil { return nil, response.ErrUnauthorized("未登录") } if msg := util.ValidatePassword(req.Password); msg != "" { return nil, response.ErrBadRequest(msg) } if !usernameRegexp.MatchString(req.Username) { return nil, response.ErrBadRequest("用户名只能包含字母、数字和下划线,长度2-64个字符") } if len(req.Nickname) > 64 { return nil, response.ErrBadRequest("昵称长度不能超过64个字符") } if len(req.Remark) > 255 { return nil, response.ErrBadRequest("备注长度不能超过255个字符") } if req.Email != "" && !util.IsValidEmail(req.Email) { return nil, response.ErrBadRequest("邮箱格式不正确") } if req.Phone != "" && !util.IsValidPhone(req.Phone) { return nil, response.ErrBadRequest("手机号格式不正确") } // 审计 M-N4:CreateUser 之前只校验部门存在,不校验 caller.DeptPath 是否覆盖目标部门, // 产品 ADMIN 因此可为任意部门(包括 DEV/运维等敏感部门)预埋 admin_* / ops_* 之类的关键 // 用户名,等其他部门 ADMIN 触发 AddMember 时顺势被挂进产品,绕过了 AddMember 侧 // CheckAddMemberAccess 的部门链防护。 // // 对齐 AddMember / UpdateUser 的语义,按身份分层校验: // - 超管:任意部门放行(包含 DeptId=0 这种"无部门"的历史语义,用于创建跨组织账号); // - 非超管调用方:必须显式指定部门(DeptId > 0),且目标部门 Path 必须以 caller.DeptPath // 作为前缀;DeptId=0 的 "无部门账号"仅限超管,防止非超管在部门树外开口。 // 审计 L-R13-4:显式拒绝 deptId < 0。原先只区分 >0 / 0 / 非超管的 0 三态,负数会落入 // "非超管被拦 → 超管直接写 sys_user.deptId = -1"的洞:超管可以构造出 loadDept // FindOne(-1) → ErrNotFound → 5xx degrade 的僵尸账号,在部门树里永远隐形。 if req.DeptId < 0 { return nil, response.ErrBadRequest("部门ID必须为非负整数") } if req.DeptId > 0 { newDept, derr := l.svcCtx.SysDeptModel.FindOne(l.ctx, req.DeptId) if derr != nil { return nil, response.ErrBadRequest("部门不存在") } if newDept.Status != consts.StatusEnabled { return nil, response.ErrBadRequest("目标部门已停用") } if !caller.IsSuperAdmin { if caller.DeptPath == "" { return nil, response.ErrForbidden("您未归属任何部门,无权创建用户") } if !strings.HasPrefix(newDept.Path, caller.DeptPath) { return nil, response.ErrForbidden("无权在非自己管辖的部门下创建用户") } } } else if !caller.IsSuperAdmin { return nil, response.ErrBadRequest("必须指定部门") } hashedPwd, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost) if err != nil { return nil, err } now := time.Now().Unix() result, err := l.svcCtx.SysUserModel.Insert(l.ctx, &userModel.SysUser{ Username: req.Username, Password: string(hashedPwd), Nickname: req.Nickname, Email: req.Email, Phone: req.Phone, Remark: req.Remark, DeptId: req.DeptId, IsSuperAdmin: consts.IsSuperAdminNo, // 管理员代填的初始密码默认要求首次登录必须修改,降低"管理员口头下发后长期不换、口令库泄露即广义失陷"的风险(见审计 L-1)。 MustChangePassword: consts.MustChangePasswordYes, Status: consts.StatusEnabled, CreateTime: now, UpdateTime: now, }) if err != nil { if util.IsDuplicateEntryErr(err) { return nil, response.ErrConflict("用户名已存在") } return nil, err } id, _ := result.LastInsertId() return &types.IdResp{Id: id}, nil }