package member import ( "context" "time" "perms-system-server/internal/consts" "perms-system-server/internal/loaders" authHelper "perms-system-server/internal/logic/auth" "perms-system-server/internal/model/productmember" "perms-system-server/internal/response" "perms-system-server/internal/svc" "perms-system-server/internal/types" "perms-system-server/internal/util" "github.com/zeromicro/go-zero/core/logx" ) type AddMemberLogic struct { logx.Logger ctx context.Context svcCtx *svc.ServiceContext } func NewAddMemberLogic(ctx context.Context, svcCtx *svc.ServiceContext) *AddMemberLogic { return &AddMemberLogic{ Logger: logx.WithContext(ctx), ctx: ctx, svcCtx: svcCtx, } } // AddMember 添加产品成员。将已有用户加入指定产品并设置成员类型(ADMIN/DEVELOPER/MEMBER),需产品 ADMIN 或超管权限。产品必须已启用。 func (l *AddMemberLogic) AddMember(req *types.AddMemberReq) (resp *types.IdResp, err error) { // 审计 L-R13-1:把"无权调此接口"的 403 提到所有实体读取之前。原先顺序(读产品 → 读用户 → // memberType 字面校验 → RequireProductAdminFor)会让任何持有有效 JWT 的用户(即便只是 // MEMBER)通过响应码差分枚举"产品 code 是否在线 / 是否被禁用"以及"userId 是否存在 / 是否 // 已冻结"两条事实——比 R10-10 封住的 GetUserPerms 枚举面更宽。req.ProductCode 是入参, // RequireProductAdminFor 已经在此处承担了"仅允许该产品 ADMIN/超管"的鉴权,提前不会改变 // 业务语义,仅把枚举面收敛到"已经拥有该产品 ADMIN 身份"的调用方内部。 if err := authHelper.RequireProductAdminFor(l.ctx, req.ProductCode); err != nil { return nil, err } // 字面校验在 DB 读之前一并做掉——对非法 memberType 的请求直接 400,无需耗费 DB/缓存。 if req.MemberType != consts.MemberTypeAdmin && req.MemberType != consts.MemberTypeDeveloper && req.MemberType != consts.MemberTypeMember { return nil, response.ErrBadRequest("无效的成员类型") } if err := authHelper.CheckMemberTypeAssignment(l.ctx, req.MemberType); err != nil { return nil, err } product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, req.ProductCode) if err != nil { return nil, response.ErrNotFound("产品不存在") } if product.Status != consts.StatusEnabled { return nil, response.ErrBadRequest("产品已被禁用,无法添加成员") } targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId) if err != nil { return nil, response.ErrNotFound("用户不存在") } if targetUser.Status != consts.StatusEnabled { return nil, response.ErrBadRequest("用户已被冻结,无法添加为成员") } // 显式拒绝把超管拉入具体产品:loadMembership 虽然会把超管的 MemberType 固定为 SuperAdmin // 让实际权限不受影响,但 sys_product_member 里会留下一条"product_admin 纳管了 super_admin" // 的假成员关系,污染审计日志 / 权限推理工具(见审计 H-3)。 if targetUser.IsSuperAdmin == consts.IsSuperAdminYes { return nil, response.ErrForbidden("无法将超级管理员加入具体产品") } // 补齐目标侧部门链授权:原先只做 RequireProductAdminFor(caller 侧),产品 ADMIN 就能把任意 // 部门树外的用户(HR、财务、其他 BU)强行拉进自己的产品,叠加 H-2 PII 暴露后可以"随便拉人 → // 读全员 PII"。这里用 CheckAddMemberAccess 而不是 CheckManageAccess: // 1. target 还不是成员,checkPermLevel 对它必定落空报 403,会整体打穿 product-ADMIN 的添加流程; // 2. product-ADMIN 在 CheckManageAccess 中本身就会短路 checkDeptHierarchy,无法真正拦住跨 // 部门拉人。CheckAddMemberAccess 专门为 AddMember 这类"target 尚未进入成员池"的前置流程 // 设计,对 product ADMIN 也强制执行部门链校验(见审计 H-3)。 if err := authHelper.CheckAddMemberAccess(l.ctx, l.svcCtx, targetUser); err != nil { return nil, err } _, findErr := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, req.ProductCode, req.UserId) if findErr == nil { return nil, response.ErrConflict("该用户已是该产品成员") } now := time.Now().Unix() result, err := l.svcCtx.SysProductMemberModel.Insert(l.ctx, &productmember.SysProductMember{ ProductCode: req.ProductCode, UserId: req.UserId, MemberType: req.MemberType, Status: consts.StatusEnabled, CreateTime: now, UpdateTime: now, }) if err != nil { if util.IsDuplicateEntryErr(err) { return nil, response.ErrConflict("该用户已是该产品成员") } return nil, err } // 审计 L-R13-5 方案 A:新成员插入后旧的"非成员"负缓存语义必须立刻失效——用 detached ctx // 防止 HTTP 层取消把 UD 旧状态悬挂到 TTL 结束。 cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx) defer cancel() l.svcCtx.UserDetailsLoader.Del(cleanCtx, req.UserId, req.ProductCode) id, _ := result.LastInsertId() return &types.IdResp{Id: id}, nil }