package user import ( "context" "errors" "fmt" "strings" "time" "perms-system-server/internal/consts" "perms-system-server/internal/loaders" authHelper "perms-system-server/internal/logic/auth" "perms-system-server/internal/middleware" memberModel "perms-system-server/internal/model/productmember" "perms-system-server/internal/model/userperm" "perms-system-server/internal/response" "perms-system-server/internal/svc" "perms-system-server/internal/types" "github.com/zeromicro/go-zero/core/logx" "github.com/zeromicro/go-zero/core/stores/sqlx" ) type SetUserPermsLogic struct { logx.Logger ctx context.Context svcCtx *svc.ServiceContext } func NewSetUserPermsLogic(ctx context.Context, svcCtx *svc.ServiceContext) *SetUserPermsLogic { return &SetUserPermsLogic{ Logger: logx.WithContext(ctx), ctx: ctx, svcCtx: svcCtx, } } // SetUserPerms 设置用户个性化权限。对指定用户在当前产品下做权限全量覆盖,支持 ALLOW(附加)和 DENY(拒绝)两种效果,用于角色权限之外的细粒度调整。 func (l *SetUserPermsLogic) SetUserPerms(req *types.SetPermsReq) error { // 审计 L-R13-1:把 RequireProductAdminFor 提到任何实体读取之前——原先"先 FindOne(userId) // 再 RequireProductAdminFor"的顺序会让仅持有 JWT 的普通 MEMBER 通过 404/成功两种响应 // 枚举产品内的 userId 存在性,是一条被动信息泄露面。productCode 来自 middleware(权威), // 提升零成本,把枚举面一刀切在鉴权之后。 productCode := middleware.GetProductCode(l.ctx) if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil { return err } targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId) if err != nil { return response.ErrNotFound("用户不存在") } product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, productCode) if err != nil { return response.ErrNotFound("产品不存在") } if product.Status != consts.StatusEnabled { return response.ErrBadRequest("产品已被禁用,无法设置权限") } // 审计 M-R10-5:让 CheckManageAccess 的 checkPermLevel 把 targetMember 透传出来,避免下面 // 再打一次 FindOneByProductCodeUserId(同一个 (productCode, userId) 唯一索引的重复读)。 // caller=SuperAdmin 的短路路径不走 checkPermLevel,member 仍为 nil,需要兜底 FindOne。 var targetMember *memberModel.SysProductMember if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, req.UserId, productCode, authHelper.WithPrefetchedTarget(targetUser), authHelper.WithMemberSink(&targetMember), ); err != nil { return err } if targetMember == nil { // caller=SuperAdmin 路径,此时尚未读 member;按业务语义兜底一次查询。 m, mErr := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, productCode, req.UserId) if mErr != nil { return response.ErrBadRequest("目标用户不是当前产品的成员") } targetMember = m } if targetMember.Status != consts.StatusEnabled { return response.ErrBadRequest("目标用户的成员资格已被禁用") } for _, p := range req.Perms { if p.Effect != consts.PermEffectAllow && p.Effect != consts.PermEffectDeny { return response.ErrBadRequest("effect值无效,仅支持 ALLOW 和 DENY") } } // 审计 L-R10-8:loadPerms 对 SUPER/ADMIN/DEVELOPER 走全权分支,直接返回 // FindAllCodesByProductCode(ProductCode) 的全集,不会 JOIN sys_user_perm 的 DENY 行。 // 也就是说对这类"全权目标"写入 DENY 是"能写、永远不生效"的语义欺骗,接口会把脏状态保留下来 // 误导运维。这里在入口主动拒绝;至于"目标 DeptType 未来变动导致原本不全权的用户变成全权、 // 旧 DENY 静默失效" 的长尾,不在本次可闭环的范围,留给后续专项(loadPerms 的全权分支是否 // 需要过 DENY 过滤,或者 DeptType 变动时自动清理对应 sys_user_perm)。 if targetMember.MemberType == consts.MemberTypeAdmin || targetMember.MemberType == consts.MemberTypeDeveloper { for _, p := range req.Perms { if p.Effect == consts.PermEffectDeny { return response.ErrBadRequest("目标用户是产品管理员或开发者,拥有全部权限,DENY 设置不会生效") } } } // targetUser.IsSuperAdmin 本应在 CheckManageAccess 里已被拦住(非超管管不到超管;超管管自己 // 也会被 ValidateStatusChange/自身的 DeptId=0 规则拦住),但保留一条显式拒绝防御未来分支变动。 if targetUser.IsSuperAdmin == consts.IsSuperAdminYes { for _, p := range req.Perms { if p.Effect == consts.PermEffectDeny { return response.ErrBadRequest("不能对超级管理员设置 DENY 权限") } } } perms := req.Perms if len(perms) > 0 { seen := make(map[int64]string, len(perms)) uniquePerms := make([]types.UserPermItem, 0, len(perms)) for _, p := range perms { if prev, ok := seen[p.PermId]; ok { if prev != p.Effect { return response.ErrBadRequest("同一权限ID不能同时为 ALLOW 和 DENY") } continue } seen[p.PermId] = p.Effect uniquePerms = append(uniquePerms, p) } perms = uniquePerms } if len(perms) > 0 { permIds := make([]int64, 0, len(perms)) for _, p := range perms { permIds = append(permIds, p.PermId) } dbPerms, err := l.svcCtx.SysPermModel.FindByIds(l.ctx, permIds) if err != nil { return err } if len(dbPerms) != len(perms) { return response.ErrBadRequest("包含无效的权限ID") } for _, p := range dbPerms { if p.ProductCode != productCode { return response.ErrBadRequest("不能设置其他产品的权限") } if p.Status != consts.StatusEnabled { return response.ErrBadRequest(fmt.Sprintf("权限 %s 已被禁用,无法设置", p.Code)) } } } // 审计 L-R13-2:把 memberType == ADMIN / DEVELOPER 的 DENY 入口拦截纳入事务 + S 锁。 // 原先"事务外读 memberType → 事务内 delete/insert DENY 行"存在 TOCTOU:并发 UpdateMember // 把 target 升为 ADMIN 后,DENY 脏行仍然会落地("能写、永不生效"的语义欺骗)。事务内用 // FindOneForShareTx 拿 member 快照 + S 锁,与 UpdateMember 的 FOR UPDATE 形成阻塞链, // 保证本事务期间 memberType 不被并发改写;DENY 的最终落地会与"目标是全权成员"互斥。 // 入口预检仍保留(提前 400 避免走完整事务打开销),事务内这一遍是对 TOCTOU 窗口的兜底。 hasDeny := false for _, p := range perms { if p.Effect == consts.PermEffectDeny { hasDeny = true break } } if err := l.svcCtx.SysUserPermModel.TransactCtx(l.ctx, func(ctx context.Context, session sqlx.Session) error { if hasDeny { lockedMember, err := l.svcCtx.SysProductMemberModel.FindOneForShareTx(ctx, session, targetMember.Id) if err != nil { if errors.Is(err, sqlx.ErrNotFound) { return response.ErrConflict("目标成员状态已变更,请刷新后重试") } return err } if lockedMember.Status != consts.StatusEnabled { return response.ErrBadRequest("目标用户的成员资格已被禁用") } if lockedMember.MemberType == consts.MemberTypeAdmin || lockedMember.MemberType == consts.MemberTypeDeveloper { return response.ErrBadRequest("目标用户是产品管理员或开发者,拥有全部权限,DENY 设置不会生效") } } if err := l.svcCtx.SysUserPermModel.DeleteByUserIdForProductTx(ctx, session, req.UserId, productCode); err != nil { return err } if len(perms) == 0 { return nil } now := time.Now().Unix() data := make([]*userperm.SysUserPerm, 0, len(perms)) permIds := make([]int64, 0, len(perms)) for _, p := range perms { data = append(data, &userperm.SysUserPerm{ UserId: req.UserId, PermId: p.PermId, Effect: p.Effect, CreateTime: now, UpdateTime: now, }) permIds = append(permIds, p.PermId) } if err := l.svcCtx.SysUserPermModel.BatchInsertWithTx(ctx, session, data); err != nil { return err } // 审计 L-4:事务末对 sys_perm 的 status 再做一次 COUNT 复核,把 "入事务前 FindByIds // 校验通过 → 事务外某次 SyncPermissions 把这些 permId 置为 DISABLED → 我们仍旧把脏 // user_perm 写进去" 的 TOCTOU 窗口收紧到零。校验失败主动返回错误触发事务回滚,外层 // 映射为 409(数据被并发改动,前端建议重试)。 // 复核手法:不在这里加 FOR SHARE(会被 SyncPerms 的 LockByCodeTx X 锁阻塞,增大 SyncPerms 尾延迟); // COUNT 只读 sys_perm 最新可见版本即可: // - 同一事务读到的是事务开始时的快照(InnoDB RR),若 SyncPermissions 已提交, // COUNT 结果会反映 DISABLED 行,与 BatchInsertWithTx 真实落盘行数对不上 → 回滚。 // - 若 SyncPermissions 与本事务重叠但尚未提交,则两边按常规 gap lock 规则互不可见, // 本次依然按事务开始时的 Enabled 快照落盘;SyncPermissions 提交后其 UPDATE 会 // 覆盖 sys_perm.status,本 user_perm 行在 loadPerms JOIN sys_perm.status = ? 时 // 自动被过滤,与 "脏行不生效" 的不变式一致。 placeholders := make([]string, len(permIds)) args := make([]interface{}, 0, len(permIds)+2) for i, id := range permIds { placeholders[i] = "?" args = append(args, id) } args = append(args, productCode, consts.StatusEnabled) countQuery := fmt.Sprintf( "SELECT COUNT(*) FROM sys_perm WHERE id IN (%s) AND `productCode` = ? AND `status` = ?", strings.Join(placeholders, ","), ) var enabled int64 if err := session.QueryRowCtx(ctx, &enabled, countQuery, args...); err != nil { return err } if enabled != int64(len(permIds)) { return response.ErrConflict("部分权限在提交时已被禁用,请刷新后重试") } return nil }); err != nil { return err } // 审计 L-R13-5 方案 A:DENY/ALLOW 直接影响目标用户 loadPerms,post-commit UD 失效必须 // 脱离请求 ctx 生命周期,避免 5 分钟 TTL 内旧权限继续生效。 cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx) defer cancel() l.svcCtx.UserDetailsLoader.Del(cleanCtx, req.UserId, productCode) return nil }