package member import ( "context" "time" "perms-system-server/internal/consts" "perms-system-server/internal/loaders" authHelper "perms-system-server/internal/logic/auth" "perms-system-server/internal/response" "perms-system-server/internal/svc" "perms-system-server/internal/types" "github.com/zeromicro/go-zero/core/logx" "github.com/zeromicro/go-zero/core/stores/sqlx" ) type UpdateMemberLogic struct { logx.Logger ctx context.Context svcCtx *svc.ServiceContext } func NewUpdateMemberLogic(ctx context.Context, svcCtx *svc.ServiceContext) *UpdateMemberLogic { return &UpdateMemberLogic{ Logger: logx.WithContext(ctx), ctx: ctx, svcCtx: svcCtx, } } // UpdateMember 更新产品成员。修改成员类型或启用/禁用状态。降级最后一个 ADMIN 时会被拒绝以保证产品始终有管理员。 // 审计 L-R11-1:memberType / status 均为指针可选,nil 表示不改该字段;两者都为 nil 时直接 400。 // // 审计 M-R15-1 / L-R15-3(降权强制重登录): // 任何"从 {ADMIN, DEVELOPER} 向 MEMBER 的迁移"或"从 Enabled 向 Disabled 的迁移",在事务内 // 除了更新 sys_product_member 之外还会对目标的 sys_user.tokenVersion 做一次 +1。这样哪怕 // 事务提交后的 UserDetailsLoader.Del 因为 Redis 抖动失败,旧 access token 在下一次 // middleware 校验时也会因 `claims.TokenVersion != ud.TokenVersion` 被 401 踢出;下一次 // Login / RefreshToken 会重新签发含新 memberType 的 token,并把新 UD 写回 Redis。 // 与 UpdateUserStatus / ChangePassword / Logout 的"强制会话失效"口径对齐——差别仅在于 // UpdateUserStatus 对全部状态变更都递增,UpdateMember 只在"权限收窄"的降权路径递增,避免 // MEMBER→ADMIN 这种"升权"场景把用户误踢(升权不构成对被管理方的实际损害)。 func (l *UpdateMemberLogic) UpdateMember(req *types.UpdateMemberReq) error { if req.MemberType == nil && req.Status == nil { return response.ErrBadRequest("请至少提供一个要更新的字段(memberType 或 status)") } member, err := l.svcCtx.SysProductMemberModel.FindOne(l.ctx, req.Id) if err != nil { return response.ErrNotFound("成员不存在") } nextType := member.MemberType if req.MemberType != nil { if *req.MemberType != consts.MemberTypeAdmin && *req.MemberType != consts.MemberTypeDeveloper && *req.MemberType != consts.MemberTypeMember { return response.ErrBadRequest("无效的成员类型") } nextType = *req.MemberType } if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, member.UserId, member.ProductCode); err != nil { return err } // 仅在 memberType 真的被改动时走 CheckMemberTypeAssignment:DEVELOPER 不得被普通 admin 分配, // 但"只改 status"的场景(已经是 DEVELOPER 的人冻结/启用)不应被该校验误拦。 if req.MemberType != nil && nextType != member.MemberType { if err := authHelper.CheckMemberTypeAssignment(l.ctx, nextType); err != nil { return err } } nextStatus := member.Status if req.Status != nil { if *req.Status != consts.StatusEnabled && *req.Status != consts.StatusDisabled { return response.ErrBadRequest("状态值无效,仅支持 1(启用) 和 2(禁用)") } nextStatus = *req.Status } if nextType == member.MemberType && nextStatus == member.Status { return nil } // 审计 M-R15-1 / L-R15-3:判定是否构成"降权"—— // - wasPrivileged:locked.MemberType ∈ {ADMIN, DEVELOPER} 且 locked.Status=Enabled,或 locked.Status=Enabled // (启用)两侧;为了与 M-R15-1 的描述对齐,"降权" = (先前享有 ADMIN/DEVELOPER 特权 → 现在没有) ∪ // (先前启用 → 现在禁用)。 // - 升权路径(MEMBER→ADMIN / Disabled→Enabled)明确**不**吊销 session:目标用户的既有会话 // 并未因此拿到更高权限(memberType 在 UD 缓存里仍是旧值,必须等 Del 生效或 TTL 过期后 // 重新 Load 才能真正"用上" ADMIN),强制重登录反而会给 caller 误操作一个"踢下线"的副作用。 shouldRevokeSession := false tokenVersionTarget := &tokenVersionRevocation{} if err := l.svcCtx.SysProductMemberModel.TransactCtx(l.ctx, func(ctx context.Context, session sqlx.Session) error { locked, err := l.svcCtx.SysProductMemberModel.FindOneForUpdateTx(ctx, session, req.Id) if err != nil { return response.ErrNotFound("成员不存在") } wasActiveAdmin := locked.MemberType == consts.MemberTypeAdmin && locked.Status == consts.StatusEnabled willBeActiveAdmin := nextType == consts.MemberTypeAdmin && nextStatus == consts.StatusEnabled if wasActiveAdmin && !willBeActiveAdmin { // 排除当前正在降级/禁用的这一行后还有几个 active admin;为 0 时即为最后一个(见审计 L-5)。 otherAdminCount, err := l.svcCtx.SysProductMemberModel.CountOtherActiveAdminsTx(ctx, session, member.ProductCode, locked.Id) if err != nil { return err } if otherAdminCount == 0 { return response.ErrBadRequest("不能降级或禁用该产品的最后一个管理员") } } // 权限收窄的两个维度:MemberType 从 {ADMIN,DEVELOPER} 掉到 MEMBER;或 Status 从 Enabled // 变 Disabled(被冻结的成员不应继续持有生效 token)。两者取并集。 wasPrivilegedType := locked.MemberType == consts.MemberTypeAdmin || locked.MemberType == consts.MemberTypeDeveloper willBePrivilegedType := nextType == consts.MemberTypeAdmin || nextType == consts.MemberTypeDeveloper typeDowngraded := wasPrivilegedType && !willBePrivilegedType statusRevoked := locked.Status == consts.StatusEnabled && nextStatus == consts.StatusDisabled if typeDowngraded || statusRevoked { // 审计 M-R15-1 方案 A:事务内递增 sys_user.tokenVersion。放在 UpdateWithTx 之前, // 确保即便 member 行 UPDATE 失败,tokenVersion 也不会被污染(事务一起 rollback)。 if _, err := l.svcCtx.SysUserModel.IncrementTokenVersionWithTx(ctx, session, locked.UserId); err != nil { return err } shouldRevokeSession = true } locked.MemberType = nextType locked.Status = nextStatus locked.UpdateTime = time.Now().Unix() tokenVersionTarget.userId = locked.UserId return l.svcCtx.SysProductMemberModel.UpdateWithTx(ctx, session, locked) }); err != nil { return err } // 审计 L-R13-5 方案 A:memberType / status 变更直接改 loadPerms 的全权分支判定, // UD 失效脱离请求 ctx 防止 TTL 窗口内旧权限继续生效。 cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx) defer cancel() l.svcCtx.UserDetailsLoader.Del(cleanCtx, member.UserId, member.ProductCode) // 审计 M-R15-1 方案 A / L-R15-3:降权事务已把 sys_user.tokenVersion 打到 DB;post-commit 必须 // 同步失效 sysUser 的低层缓存(cacheSysUserIdPrefix / cacheSysUserUsernamePrefix),否则 // UD loader 下次 cache-miss 重建时会从 sysUser 低层缓存里拿到旧 tokenVersion,把刚递增过 // 的值再一次抹回去。username 通过 SysUserModel.FindOne 取——该查询本身带缓存,几乎零成本。 if shouldRevokeSession && tokenVersionTarget.userId > 0 { if user, err := l.svcCtx.SysUserModel.FindOne(cleanCtx, tokenVersionTarget.userId); err == nil && user != nil { l.svcCtx.SysUserModel.InvalidateProfileCache(cleanCtx, user.Id, user.Username) } else if err != nil { // FindOne 失败仅降级为日志:tokenVersion 已经落库,就算缓存没刷新,最坏也只是 TTL 过 // 期后才能生效新版本,与既有 "UserDetailsLoader.Del 失败" 的降级路径等价。 logx.WithContext(l.ctx).Errorf("UpdateMember post-commit FindOne(%d) failed for token-version cache invalidation: %v", tokenVersionTarget.userId, err) } } return nil } // tokenVersionRevocation 仅作为闭包外"事务内决定的 userId"载体,避免闭包捕获的字段被事务失败 // 时污染——shouldRevokeSession 是布尔标志,单独用零值默认即可安全跨越闭包边界。 type tokenVersionRevocation struct { userId int64 }