// Code scaffolded by goctl. Safe to edit.
// goctl 1.10.1

package user

import (
	"context"

	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/middleware"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"

	"github.com/zeromicro/go-zero/core/logx"
)

type GetUserPermsLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewGetUserPermsLogic(ctx context.Context, svcCtx *svc.ServiceContext) *GetUserPermsLogic {
	return &GetUserPermsLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// GetUserPerms 查询指定用户在某产品下的个性化权限覆盖项（仅 sys_user_perm 的 ALLOW/DENY 行，不含角色继承权限）。
// 适用场景：超管/产品 ADMIN 在管理后台查看权限等级低于自己、且与自己同产品的用户的权限覆盖配置。
// 用户自身的最终有效权限在登录时由 UserDetailsLoader 计算并缓存，不走此接口。
// 访问控制：须是产品 ADMIN 或超管，且通过 CheckManageAccess 校验权限等级高于目标用户。
// 超管必须显式传入 productCode；非超管从 JWT 上下文取。
func (l *GetUserPermsLogic) GetUserPerms(req *types.GetUserPermsReq) (resp *types.GetUserPermsResp, err error) {
	caller := middleware.GetUserDetails(l.ctx)
	if caller == nil {
		return nil, response.ErrUnauthorized("未登录")
	}

	productCode := middleware.GetProductCode(l.ctx)
	if caller.IsSuperAdmin {
		if req.ProductCode == "" {
			return nil, response.ErrBadRequest("必须指定产品编码")
		}
		productCode = req.ProductCode
	}

	// 审计 L-R13-1：先鉴权再读实体，避免枚举 userId。
	if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil {
		return nil, err
	}
	if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, req.UserId, productCode); err != nil {
		return nil, err
	}

	rows, err := l.svcCtx.SysUserPermModel.FindByUserIdForProduct(l.ctx, req.UserId, productCode)
	if err != nil {
		return nil, err
	}

	perms := make([]types.UserPermItem, 0, len(rows))
	for _, r := range rows {
		perms = append(perms, types.UserPermItem{
			PermId: r.PermId,
			Effect: r.Effect,
		})
	}
	return &types.GetUserPermsResp{Perms: perms}, nil
}