package user import ( "context" "errors" "time" "perms-system-server/internal/consts" "perms-system-server/internal/loaders" authHelper "perms-system-server/internal/logic/auth" "perms-system-server/internal/middleware" "perms-system-server/internal/model/userrole" "perms-system-server/internal/response" "perms-system-server/internal/svc" "perms-system-server/internal/types" "github.com/zeromicro/go-zero/core/logx" "github.com/zeromicro/go-zero/core/stores/sqlx" ) type BindRolesLogic struct { logx.Logger ctx context.Context svcCtx *svc.ServiceContext } func NewBindRolesLogic(ctx context.Context, svcCtx *svc.ServiceContext) *BindRolesLogic { return &BindRolesLogic{ Logger: logx.WithContext(ctx), ctx: ctx, svcCtx: svcCtx, } } // BindRoles 绑定用户角色。对指定用户在当前产品下做角色全量覆盖(diff 后批量新增/删除),支持权限级别校验防止越权分配。 func (l *BindRolesLogic) BindRoles(req *types.BindRolesReq) error { caller := middleware.GetUserDetails(l.ctx) if caller == nil { return response.ErrUnauthorized("未登录") } // 审计 L-R13-1:在读 target 之前做一次"最低资格"闸——非超管且当前产品上下文里 MemberType // 为空的调用方(仅持有 JWT 但不是本产品成员)一定无法通过后续的 CheckManageAccess // (checkPermLevel 对 caller MaxInt32 优先级 > 任意 target),提前 403 可以避免通过 404 // 枚举 userId 存在性。本闸不覆盖 MEMBER/DEVELOPER——他们仍需走 CheckManageAccess 判定 // 部门链 + permsLevel 是否够高,与现有语义保持一致。 if !caller.IsSuperAdmin && caller.MemberType == "" { return response.ErrForbidden("缺少产品成员上下文") } targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId) if err != nil { return response.ErrNotFound("用户不存在") } productCode := middleware.GetProductCode(l.ctx) if caller.IsSuperAdmin && req.ProductCode != "" { productCode = req.ProductCode } if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, req.UserId, productCode, authHelper.WithPrefetchedTarget(targetUser)); err != nil { return err } member, err := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, productCode, req.UserId) if err != nil { return response.ErrBadRequest("目标用户不是当前产品的成员") } if member.Status != consts.StatusEnabled { return response.ErrBadRequest("目标用户的成员资格已被禁用") } roleIds := req.RoleIds if len(roleIds) > 0 { seen := make(map[int64]bool, len(roleIds)) uniqueIds := make([]int64, 0, len(roleIds)) for _, id := range roleIds { if !seen[id] { seen[id] = true uniqueIds = append(uniqueIds, id) } } roleIds = uniqueIds } if len(roleIds) > 0 { roles, err := l.svcCtx.SysRoleModel.FindByIds(l.ctx, roleIds) if err != nil { return err } // 审计 L-R14-2:把"缺项 / 跨产品 / 已禁用"三条原本分别抛 "包含无效的角色ID" / // "不能绑定其他产品的角色" / "不能绑定已禁用的角色" 的路径折叠为同一个 400 文案, // 阻止仅凭已通过 CheckManageAccess 的调用方(例如某产品的下属 ADMIN)借文案差异 // 枚举他产品的 roleId 分布 / 启停状态。细分原因保留到 audit 日志,供运营同学排障。 invalid := false invalidReasons := make([]string, 0, len(roles)) if int64(len(roles)) != int64(len(roleIds)) { invalid = true invalidReasons = append(invalidReasons, "missing_ids") } for _, r := range roles { if r.ProductCode != productCode { invalid = true invalidReasons = append(invalidReasons, "cross_product") continue } if r.Status != consts.StatusEnabled { invalid = true invalidReasons = append(invalidReasons, "disabled") } } if invalid { logx.WithContext(l.ctx).Infow("bind roles: invalid ids", logx.Field("audit", "bind_roles_invalid_ids"), logx.Field("userId", req.UserId), logx.Field("productCode", productCode), logx.Field("requested", roleIds), logx.Field("reasons", invalidReasons), ) return response.ErrBadRequest("包含无效的角色ID") } // 审计 M-R10-3:caller 在一次请求内不变,loadFreshMinPermsLevel 的结果也不变;改由 // LoadCallerAssignableLevel 打一次 DB 取 snapshot,循环内对每个角色走 CheckRoleLevelAgainst // 做常数时间比较,把"批量绑 N 个 role → N 次 DB" 降到 1 次,同时缩小 caller 降权期间 // 的 TOCTOU 窗口(原实现每次循环都重新读,反而给"超管在 loop 中途降级 caller"N 个窗口)。 assignable, err := authHelper.LoadCallerAssignableLevel(l.ctx, l.svcCtx, caller) if err != nil { return err } // level 校验保留独立 403——这条错误不依赖 roleId 是否属于本产品(不构成新的枚举 // oracle),且对调用方而言是可操作的语义反馈("你没资格分配这个等级的角色"),折进 // 统一 400 文案反而会让前端误引导。 for _, r := range roles { if err := authHelper.CheckRoleLevelAgainst(assignable, r.PermsLevel); err != nil { return err } } } newSet := make(map[int64]bool, len(roleIds)) for _, id := range roleIds { newSet[id] = true } // 审计 M-R10-2:把"existing 读 + diff + delete/insert"整段收敛进事务,事务第一步以 // FindOneForUpdateTx(member.Id) 锁住 sys_product_member 行,相当于把同一 (userId, // productCode) 下的并发 BindRoles 串行化;"A 完整覆盖 → B 基于 A 的最终态覆盖" 是唯一 // 可能的交错,消除 RMW 第三态。member 行 lock 也保证了进入事务期间 member 不会被并发 // RemoveMember 清零(那条路径本身也持该行 FOR UPDATE)。 if err := l.svcCtx.SysUserRoleModel.TransactCtx(l.ctx, func(ctx context.Context, session sqlx.Session) error { if _, err := l.svcCtx.SysProductMemberModel.FindOneForUpdateTx(ctx, session, member.Id); err != nil { return err } // 审计 M-R12-1:对本次将要出现在 sys_user_role 里的 roleIds(事务外校验通过的入参集合) // 加 S 锁,闭合与 DeleteRole 的写偏斜。DeleteRole 末尾对 sys_role[R] 的 X 锁会被本 S 锁 // 阻塞;等 BindRoles 提交后,DeleteRole 会在 FindUserIdsByRoleIdForUpdateTx 里看到新插入 // 的绑定行,下游 BatchDel 能覆盖到这批用户缓存,不再留下孤儿 sys_user_role。 // 注:只锁"本次请求携带的 roleIds"——已有但未出现在本次请求里的 existing 角色会被 diff // 到 toRemove,DELETE 自身就会对 sys_user_role 行取 X 锁,不依赖 sys_role 的 S 锁。 if len(roleIds) > 0 { if err := l.svcCtx.SysRoleModel.LockRolesForShareTx(ctx, session, roleIds); err != nil { if errors.Is(err, sqlx.ErrNotFound) { // 审计 L-R14-2:并发 DeleteRole 刚把某个 roleId 删掉 / 禁用(事务外校验通过 // 到拿 S 锁之间的窗口),此处与事务外的"缺项 / 跨产品 / 已禁用" 统一折叠 // 为 "包含无效的角色ID",避免"删除态"成为独立可识别的响应文案。 logx.WithContext(l.ctx).Infow("bind roles: role vanished before share lock", logx.Field("audit", "bind_roles_invalid_ids"), logx.Field("userId", req.UserId), logx.Field("productCode", productCode), logx.Field("requested", roleIds), logx.Field("reason", "race_deleted_or_disabled"), ) return response.ErrBadRequest("包含无效的角色ID") } return err } } existingRoleIds, err := l.svcCtx.SysUserRoleModel.FindRoleIdsByUserIdForProductTx(ctx, session, req.UserId, productCode) if err != nil { return err } existingSet := make(map[int64]bool, len(existingRoleIds)) for _, id := range existingRoleIds { existingSet[id] = true } var toAdd []int64 for _, id := range roleIds { if !existingSet[id] { toAdd = append(toAdd, id) } } var toRemove []int64 for _, id := range existingRoleIds { if !newSet[id] { toRemove = append(toRemove, id) } } if len(toAdd) == 0 && len(toRemove) == 0 { return nil } if err := l.svcCtx.SysUserRoleModel.DeleteByUserIdAndRoleIdsTx(ctx, session, req.UserId, toRemove); err != nil { return err } if len(toAdd) > 0 { now := time.Now().Unix() data := make([]*userrole.SysUserRole, 0, len(toAdd)) for _, roleId := range toAdd { data = append(data, &userrole.SysUserRole{ UserId: req.UserId, RoleId: roleId, CreateTime: now, UpdateTime: now, }) } return l.svcCtx.SysUserRoleModel.BatchInsertWithTx(ctx, session, data) } return nil }); err != nil { return err } // 审计 L-R13-5 方案 A:角色变更直接影响 loadRoles + loadPerms,UD 失效与请求 ctx 解耦 // 避免 client 断连后 5 分钟 TTL 内目标用户继续走旧角色集。 cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx) defer cancel() l.svcCtx.UserDetailsLoader.Clean(cleanCtx, req.UserId) return nil }