package pub import ( "context" "errors" "testing" "perms-system-server/internal/testutil" "github.com/stretchr/testify/assert" "github.com/stretchr/testify/require" ) // --------------------------------------------------------------------------- // 覆盖目标:审计第 6 轮 H-2 修复回归。 // // H-2 的本质:`ValidateProductLogin` 里"账号冻结"、"是超管"、"用户不存在"三条 // 错误路径在修复前存在 **耗时 + 错误消息 + HTTP code** 三重差异,构成 // 账号存在性 / 状态 oracle。修复后: // - bcrypt 无条件执行(dummy hash 对齐耗时) // - 只有密码正确之后才披露"冻结"/"超管"语义 // - 用户名不存在 / 存在但密码错 / 存在但冻结且密码错 → 统一 401 "用户名或密码错误" // // 这些用例把上面契约全部钉死:任何一条被回退到"先检查 status 再 bcrypt"的旧路径, // 对应 TC 立刻 FAIL。 // --------------------------------------------------------------------------- // TC-0838: 冻结用户 + 错误密码 —— 必须返回 401 "用户名或密码错误",禁止泄露冻结态。 func TestValidateProductLogin_FrozenWrongPassword_Return401(t *testing.T) { ctx := context.Background() svcCtx := newTestSvcCtx() svcCtx.UsernameLoginLimit = nil // 隔离本测试变量 username := "h2_frozen_wrong_" + testutil.UniqueId() // status=2(冻结),isSuperAdmin=2(非超管) _, clean := insertRefreshTestUser(t, ctx, username, "CorrectPass123", 2, 2) t.Cleanup(clean) _, err := ValidateProductLogin(ctx, svcCtx, username, "WrongPass", "test_product", "127.0.0.1") require.Error(t, err) var le *LoginError require.True(t, errors.As(err, &le)) assert.Equal(t, 401, le.Code, "H-2:冻结用户 + 错误密码不得返回 403;必须 401 与'用户不存在/密码错'三合一") assert.Equal(t, "用户名或密码错误", le.Message, "H-2:文案不得泄露冻结态") } // TC-0839: 冻结用户 + 正确密码 —— 此时才允许披露"账号已被冻结"(攻击者已经猜中密码,继续隐藏已无意义)。 func TestValidateProductLogin_FrozenCorrectPassword_Return403(t *testing.T) { ctx := context.Background() svcCtx := newTestSvcCtx() svcCtx.UsernameLoginLimit = nil username := "h2_frozen_right_" + testutil.UniqueId() _, clean := insertRefreshTestUser(t, ctx, username, "RightPass123", 2, 2) t.Cleanup(clean) _, err := ValidateProductLogin(ctx, svcCtx, username, "RightPass123", "test_product", "127.0.0.1") require.Error(t, err) var le *LoginError require.True(t, errors.As(err, &le)) assert.Equal(t, 403, le.Code, "H-2:密码正确后的冻结分支仍走 403 披露") assert.Equal(t, "账号已被冻结", le.Message) } // TC-0840: 超管走产品端 + 错误密码 —— 不得提前暴露"该账号是超管"。 func TestValidateProductLogin_SuperAdminWrongPassword_Return401(t *testing.T) { ctx := context.Background() svcCtx := newTestSvcCtx() svcCtx.UsernameLoginLimit = nil username := "h2_sa_wrong_" + testutil.UniqueId() // status=1(启用),isSuperAdmin=1(超管) _, clean := insertRefreshTestUser(t, ctx, username, "RightPass123", 1, 1) t.Cleanup(clean) _, err := ValidateProductLogin(ctx, svcCtx, username, "WrongPass", "test_product", "127.0.0.1") require.Error(t, err) var le *LoginError require.True(t, errors.As(err, &le)) assert.Equal(t, 401, le.Code, "H-2:超管 + 错误密码必须归一到 401'用户名或密码错误',不得提前披露超管身份") assert.Equal(t, "用户名或密码错误", le.Message) } // TC-0841: 超管走产品端 + 正确密码 —— 密码正确后才披露"超管请走管理后台"。 func TestValidateProductLogin_SuperAdminCorrectPassword_Return403(t *testing.T) { ctx := context.Background() svcCtx := newTestSvcCtx() svcCtx.UsernameLoginLimit = nil username := "h2_sa_right_" + testutil.UniqueId() _, clean := insertRefreshTestUser(t, ctx, username, "RightPass123", 1, 1) t.Cleanup(clean) _, err := ValidateProductLogin(ctx, svcCtx, username, "RightPass123", "test_product", "127.0.0.1") require.Error(t, err) var le *LoginError require.True(t, errors.As(err, &le)) assert.Equal(t, 403, le.Code) assert.Equal(t, "超级管理员不允许通过产品端登录,请使用管理后台", le.Message) } // TC-0842: 用户名不存在 —— 沿用 dummy bcrypt 恒时对齐,文案必须与 TC-0838 完全一致。 // 这条是三重 oracle 消除的"对照组",缺了它单看 0838/0840 还不能证明"三路归一"。 func TestValidateProductLogin_UnknownUserSame401(t *testing.T) { ctx := context.Background() svcCtx := newTestSvcCtx() svcCtx.UsernameLoginLimit = nil _, err := ValidateProductLogin(ctx, svcCtx, "h2_noexist_"+testutil.UniqueId(), "anypwd", "test_product", "127.0.0.1") require.Error(t, err) var le *LoginError require.True(t, errors.As(err, &le)) assert.Equal(t, 401, le.Code) assert.Equal(t, "用户名或密码错误", le.Message, "H-2:未知用户 / 冻结+错密 / 存在+错密 三路必须归一为同一 401 + 文案") }