| 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136 |
- package user
- import (
- "context"
- "regexp"
- "strings"
- "time"
- "perms-system-server/internal/consts"
- authHelper "perms-system-server/internal/logic/auth"
- "perms-system-server/internal/middleware"
- userModel "perms-system-server/internal/model/user"
- "perms-system-server/internal/response"
- "perms-system-server/internal/svc"
- "perms-system-server/internal/types"
- "perms-system-server/internal/util"
- "github.com/zeromicro/go-zero/core/logx"
- "golang.org/x/crypto/bcrypt"
- )
- var usernameRegexp = regexp.MustCompile(`^[a-zA-Z0-9_]{2,64}$`)
- type CreateUserLogic struct {
- logx.Logger
- ctx context.Context
- svcCtx *svc.ServiceContext
- }
- func NewCreateUserLogic(ctx context.Context, svcCtx *svc.ServiceContext) *CreateUserLogic {
- return &CreateUserLogic{
- Logger: logx.WithContext(ctx),
- ctx: ctx,
- svcCtx: svcCtx,
- }
- }
- // CreateUser 创建用户。新建系统用户账号,可指定部门归属。超管或当前产品 ADMIN 可调用。
- // 注意:产品 ADMIN 创建的用户为系统级用户,不自动加入任何产品,需通过 AddMember 接口手动关联。
- func (l *CreateUserLogic) CreateUser(req *types.CreateUserReq) (resp *types.IdResp, err error) {
- productCode := middleware.GetProductCode(l.ctx)
- if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil {
- return nil, err
- }
- caller := middleware.GetUserDetails(l.ctx)
- if caller == nil {
- return nil, response.ErrUnauthorized("未登录")
- }
- if msg := util.ValidatePassword(req.Password); msg != "" {
- return nil, response.ErrBadRequest(msg)
- }
- if !usernameRegexp.MatchString(req.Username) {
- return nil, response.ErrBadRequest("用户名只能包含字母、数字和下划线,长度2-64个字符")
- }
- if len(req.Nickname) > 64 {
- return nil, response.ErrBadRequest("昵称长度不能超过64个字符")
- }
- if len(req.Remark) > 255 {
- return nil, response.ErrBadRequest("备注长度不能超过255个字符")
- }
- if req.Email != "" && !util.IsValidEmail(req.Email) {
- return nil, response.ErrBadRequest("邮箱格式不正确")
- }
- if req.Phone != "" && !util.IsValidPhone(req.Phone) {
- return nil, response.ErrBadRequest("手机号格式不正确")
- }
- // 审计 M-N4:CreateUser 之前只校验部门存在,不校验 caller.DeptPath 是否覆盖目标部门,
- // 产品 ADMIN 因此可为任意部门(包括 DEV/运维等敏感部门)预埋 admin_* / ops_* 之类的关键
- // 用户名,等其他部门 ADMIN 触发 AddMember 时顺势被挂进产品,绕过了 AddMember 侧
- // CheckAddMemberAccess 的部门链防护。
- //
- // 对齐 AddMember / UpdateUser 的语义,按身份分层校验:
- // - 超管:任意部门放行(包含 DeptId=0 这种"无部门"的历史语义,用于创建跨组织账号);
- // - 非超管调用方:必须显式指定部门(DeptId > 0),且目标部门 Path 必须以 caller.DeptPath
- // 作为前缀;DeptId=0 的 "无部门账号"仅限超管,防止非超管在部门树外开口。
- // 审计 L-R13-4:显式拒绝 deptId < 0。原先只区分 >0 / 0 / 非超管的 0 三态,负数会落入
- // "非超管被拦 → 超管直接写 sys_user.deptId = -1"的洞:超管可以构造出 loadDept
- // FindOne(-1) → ErrNotFound → 5xx degrade 的僵尸账号,在部门树里永远隐形。
- if req.DeptId < 0 {
- return nil, response.ErrBadRequest("部门ID必须为非负整数")
- }
- if req.DeptId > 0 {
- newDept, derr := l.svcCtx.SysDeptModel.FindOne(l.ctx, req.DeptId)
- if derr != nil {
- return nil, response.ErrBadRequest("部门不存在")
- }
- if newDept.Status != consts.StatusEnabled {
- return nil, response.ErrBadRequest("目标部门已停用")
- }
- if !caller.IsSuperAdmin {
- if caller.DeptPath == "" {
- return nil, response.ErrForbidden("您未归属任何部门,无权创建用户")
- }
- if !strings.HasPrefix(newDept.Path, caller.DeptPath) {
- return nil, response.ErrForbidden("无权在非自己管辖的部门下创建用户")
- }
- }
- } else if !caller.IsSuperAdmin {
- return nil, response.ErrBadRequest("必须指定部门")
- }
- hashedPwd, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost)
- if err != nil {
- return nil, err
- }
- now := time.Now().Unix()
- result, err := l.svcCtx.SysUserModel.Insert(l.ctx, &userModel.SysUser{
- Username: req.Username,
- Password: string(hashedPwd),
- Nickname: req.Nickname,
- Email: req.Email,
- Phone: req.Phone,
- Remark: req.Remark,
- DeptId: req.DeptId,
- IsSuperAdmin: consts.IsSuperAdminNo,
- // 管理员代填的初始密码默认要求首次登录必须修改,降低"管理员口头下发后长期不换、口令库泄露即广义失陷"的风险(见审计 L-1)。
- MustChangePassword: consts.MustChangePasswordYes,
- Status: consts.StatusEnabled,
- CreateTime: now,
- UpdateTime: now,
- })
- if err != nil {
- if util.IsDuplicateEntryErr(err) {
- return nil, response.ErrConflict("用户名已存在")
- }
- return nil, err
- }
- id, _ := result.LastInsertId()
- return &types.IdResp{Id: id}, nil
- }
|
