perms-system-server/internal/logic/user/setUserPermsLogic.go

package user

import (
	"context"
	"errors"
	"fmt"
	"strings"
	"time"

	"perms-system-server/internal/consts"
	"perms-system-server/internal/loaders"
	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/middleware"
	memberModel "perms-system-server/internal/model/productmember"
	"perms-system-server/internal/model/userperm"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"

	"github.com/zeromicro/go-zero/core/logx"
	"github.com/zeromicro/go-zero/core/stores/sqlx"
)

type SetUserPermsLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewSetUserPermsLogic(ctx context.Context, svcCtx *svc.ServiceContext) *SetUserPermsLogic {
	return &SetUserPermsLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// SetUserPerms 设置用户个性化权限。对指定用户在当前产品下做权限全量覆盖，支持 ALLOW（附加）和 DENY（拒绝）两种效果，用于角色权限之外的细粒度调整。
func (l *SetUserPermsLogic) SetUserPerms(req *types.SetPermsReq) error {
	// 审计 L-R13-1：把 RequireProductAdminFor 提到任何实体读取之前——原先"先 FindOne(userId)
	// 再 RequireProductAdminFor"的顺序会让仅持有 JWT 的普通 MEMBER 通过 404/成功两种响应
	// 枚举产品内的 userId 存在性，是一条被动信息泄露面。productCode 来自 middleware（权威），
	// 提升零成本，把枚举面一刀切在鉴权之后。
	productCode := middleware.GetProductCode(l.ctx)
	if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil {
		return err
	}

	targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId)
	if err != nil {
		return response.ErrNotFound("用户不存在")
	}

	product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, productCode)
	if err != nil {
		return response.ErrNotFound("产品不存在")
	}
	if product.Status != consts.StatusEnabled {
		return response.ErrBadRequest("产品已被禁用，无法设置权限")
	}

	// 审计 M-R10-5：让 CheckManageAccess 的 checkPermLevel 把 targetMember 透传出来，避免下面
	// 再打一次 FindOneByProductCodeUserId（同一个 (productCode, userId) 唯一索引的重复读）。
	// caller=SuperAdmin 的短路路径不走 checkPermLevel，member 仍为 nil，需要兜底 FindOne。
	var targetMember *memberModel.SysProductMember
	if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, req.UserId, productCode,
		authHelper.WithPrefetchedTarget(targetUser),
		authHelper.WithMemberSink(&targetMember),
	); err != nil {
		return err
	}
	if targetMember == nil {
		// caller=SuperAdmin 路径，此时尚未读 member；按业务语义兜底一次查询。
		m, mErr := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, productCode, req.UserId)
		if mErr != nil {
			return response.ErrBadRequest("目标用户不是当前产品的成员")
		}
		targetMember = m
	}
	if targetMember.Status != consts.StatusEnabled {
		return response.ErrBadRequest("目标用户的成员资格已被禁用")
	}

	for _, p := range req.Perms {
		if p.Effect != consts.PermEffectAllow && p.Effect != consts.PermEffectDeny {
			return response.ErrBadRequest("effect值无效，仅支持 ALLOW 和 DENY")
		}
	}

	// 审计 L-R10-8：loadPerms 对 SUPER/ADMIN/DEVELOPER 走全权分支，直接返回
	// FindAllCodesByProductCode(ProductCode) 的全集，不会 JOIN sys_user_perm 的 DENY 行。
	// 也就是说对这类"全权目标"写入 DENY 是"能写、永远不生效"的语义欺骗，接口会把脏状态保留下来
	// 误导运维。这里在入口主动拒绝；至于"目标 DeptType 未来变动导致原本不全权的用户变成全权、
	// 旧 DENY 静默失效" 的长尾，不在本次可闭环的范围，留给后续专项（loadPerms 的全权分支是否
	// 需要过 DENY 过滤，或者 DeptType 变动时自动清理对应 sys_user_perm）。
	if targetMember.MemberType == consts.MemberTypeAdmin || targetMember.MemberType == consts.MemberTypeDeveloper {
		for _, p := range req.Perms {
			if p.Effect == consts.PermEffectDeny {
				return response.ErrBadRequest("目标用户是产品管理员或开发者，拥有全部权限，DENY 设置不会生效")
			}
		}
	}
	// targetUser.IsSuperAdmin 本应在 CheckManageAccess 里已被拦住（非超管管不到超管；超管管自己
	// 也会被 ValidateStatusChange/自身的 DeptId=0 规则拦住），但保留一条显式拒绝防御未来分支变动。
	if targetUser.IsSuperAdmin == consts.IsSuperAdminYes {
		for _, p := range req.Perms {
			if p.Effect == consts.PermEffectDeny {
				return response.ErrBadRequest("不能对超级管理员设置 DENY 权限")
			}
		}
	}

	perms := req.Perms
	if len(perms) > 0 {
		seen := make(map[int64]string, len(perms))
		uniquePerms := make([]types.UserPermItem, 0, len(perms))
		for _, p := range perms {
			if prev, ok := seen[p.PermId]; ok {
				if prev != p.Effect {
					return response.ErrBadRequest("同一权限ID不能同时为 ALLOW 和 DENY")
				}
				continue
			}
			seen[p.PermId] = p.Effect
			uniquePerms = append(uniquePerms, p)
		}
		perms = uniquePerms
	}

	if len(perms) > 0 {
		permIds := make([]int64, 0, len(perms))
		for _, p := range perms {
			permIds = append(permIds, p.PermId)
		}
		dbPerms, err := l.svcCtx.SysPermModel.FindByIds(l.ctx, permIds)
		if err != nil {
			return err
		}
		if len(dbPerms) != len(perms) {
			return response.ErrBadRequest("包含无效的权限ID")
		}
		for _, p := range dbPerms {
			if p.ProductCode != productCode {
				return response.ErrBadRequest("不能设置其他产品的权限")
			}
			if p.Status != consts.StatusEnabled {
				return response.ErrBadRequest(fmt.Sprintf("权限 %s 已被禁用，无法设置", p.Code))
			}
		}
	}

	// 审计 L-R13-2：把 memberType == ADMIN / DEVELOPER 的 DENY 入口拦截纳入事务 + S 锁。
	// 原先"事务外读 memberType → 事务内 delete/insert DENY 行"存在 TOCTOU：并发 UpdateMember
	// 把 target 升为 ADMIN 后，DENY 脏行仍然会落地（"能写、永不生效"的语义欺骗）。事务内用
	// FindOneForShareTx 拿 member 快照 + S 锁，与 UpdateMember 的 FOR UPDATE 形成阻塞链，
	// 保证本事务期间 memberType 不被并发改写；DENY 的最终落地会与"目标是全权成员"互斥。
	// 入口预检仍保留（提前 400 避免走完整事务打开销），事务内这一遍是对 TOCTOU 窗口的兜底。
	hasDeny := false
	for _, p := range perms {
		if p.Effect == consts.PermEffectDeny {
			hasDeny = true
			break
		}
	}

	if err := l.svcCtx.SysUserPermModel.TransactCtx(l.ctx, func(ctx context.Context, session sqlx.Session) error {
		if hasDeny {
			lockedMember, err := l.svcCtx.SysProductMemberModel.FindOneForShareTx(ctx, session, targetMember.Id)
			if err != nil {
				if errors.Is(err, sqlx.ErrNotFound) {
					return response.ErrConflict("目标成员状态已变更，请刷新后重试")
				}
				return err
			}
			if lockedMember.Status != consts.StatusEnabled {
				return response.ErrBadRequest("目标用户的成员资格已被禁用")
			}
			if lockedMember.MemberType == consts.MemberTypeAdmin || lockedMember.MemberType == consts.MemberTypeDeveloper {
				return response.ErrBadRequest("目标用户是产品管理员或开发者，拥有全部权限，DENY 设置不会生效")
			}
		}

		if err := l.svcCtx.SysUserPermModel.DeleteByUserIdForProductTx(ctx, session, req.UserId, productCode); err != nil {
			return err
		}
		if len(perms) == 0 {
			return nil
		}
		now := time.Now().Unix()
		data := make([]*userperm.SysUserPerm, 0, len(perms))
		permIds := make([]int64, 0, len(perms))
		for _, p := range perms {
			data = append(data, &userperm.SysUserPerm{
				UserId:     req.UserId,
				PermId:     p.PermId,
				Effect:     p.Effect,
				CreateTime: now,
				UpdateTime: now,
			})
			permIds = append(permIds, p.PermId)
		}
		if err := l.svcCtx.SysUserPermModel.BatchInsertWithTx(ctx, session, data); err != nil {
			return err
		}
		// 审计 L-4：事务末对 sys_perm 的 status 再做一次 COUNT 复核，把 "入事务前 FindByIds
		// 校验通过 → 事务外某次 SyncPermissions 把这些 permId 置为 DISABLED → 我们仍旧把脏
		// user_perm 写进去" 的 TOCTOU 窗口收紧到零。校验失败主动返回错误触发事务回滚，外层
		// 映射为 409（数据被并发改动，前端建议重试）。
		//   复核手法：不在这里加 FOR SHARE（会被 SyncPerms 的 LockByCodeTx X 锁阻塞，增大 SyncPerms 尾延迟）；
		//   COUNT 只读 sys_perm 最新可见版本即可：
		//     - 同一事务读到的是事务开始时的快照（InnoDB RR），若 SyncPermissions 已提交，
		//       COUNT 结果会反映 DISABLED 行，与 BatchInsertWithTx 真实落盘行数对不上 → 回滚。
		//     - 若 SyncPermissions 与本事务重叠但尚未提交，则两边按常规 gap lock 规则互不可见，
		//       本次依然按事务开始时的 Enabled 快照落盘；SyncPermissions 提交后其 UPDATE 会
		//       覆盖 sys_perm.status，本 user_perm 行在 loadPerms JOIN sys_perm.status = ? 时
		//       自动被过滤，与 "脏行不生效" 的不变式一致。
		placeholders := make([]string, len(permIds))
		args := make([]interface{}, 0, len(permIds)+2)
		for i, id := range permIds {
			placeholders[i] = "?"
			args = append(args, id)
		}
		args = append(args, productCode, consts.StatusEnabled)
		countQuery := fmt.Sprintf(
			"SELECT COUNT(*) FROM sys_perm WHERE id IN (%s) AND `productCode` = ? AND `status` = ?",
			strings.Join(placeholders, ","),
		)
		var enabled int64
		if err := session.QueryRowCtx(ctx, &enabled, countQuery, args...); err != nil {
			return err
		}
		if enabled != int64(len(permIds)) {
			return response.ErrConflict("部分权限在提交时已被禁用，请刷新后重试")
		}
		return nil
	}); err != nil {
		return err
	}

	// 审计 L-R13-5 方案 A：DENY/ALLOW 直接影响目标用户 loadPerms，post-commit UD 失效必须
	// 脱离请求 ctx 生命周期，避免 5 分钟 TTL 内旧权限继续生效。
	cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx)
	defer cancel()
	l.svcCtx.UserDetailsLoader.Del(cleanCtx, req.UserId, productCode)
	return nil
}