Головна сторінка Огляд Довідка
Увійти
weiym
/
perms-system-server
1
0
Відгалуження 0
Файли Проблеми 0 Запити на злиття 0 Wiki
Дерево: 1acb644ef6
Гілки Теги
perms-system...
/
internal
/
logic
/
dept
/
deptTreeLogic_test.go

deptTreeLogic_test.go 7.7 KB
Історія Запис

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183 
  1. package dept
    2. 

  2. 

  3. import (
    4. 

  4. 	"context"
    5. 

  5. 	"testing"
    6. 

  6. 

  7. 	"perms-system-server/internal/consts"
    8. 

  8. 	"perms-system-server/internal/loaders"
    9. 

  9. 	"perms-system-server/internal/middleware"
    10. 

  10. 	deptModel "perms-system-server/internal/model/dept"
    11. 

  11. 	"perms-system-server/internal/testutil/mocks"
    12. 

  12. 

  13. 	"github.com/stretchr/testify/assert"
    14. 

  14. 	"github.com/stretchr/testify/require"
    15. 

  15. 	"go.uber.org/mock/gomock"
    16. 

  16. )
    17. 

  17. 

  18. // ---------------------------------------------------------------------------
    19. 

  19. // 覆盖目标:只有 SuperAdmin 才能拿到完整部门树;产品 ADMIN / DEVELOPER / MEMBER 一律
    20. 

  20. // 按 caller.DeptPath 前缀过滤,仅返回以其为根的子树。避免:
    21. 

  21. // * MEMBER 级账号枚举全公司组织结构;
    22. 

  22. // * 定位 DEV 部门再针对性申请权限;
    23. 

  23. // * 审计 L-R15-2:小产品 ADMIN 借 fullAccess 侦察大产品的 DEV/HR/财务部门命名,
    24. 

  24. //   为针对性社工 / 撞库提供前置输入——sys_dept 是全局命名空间,ADMIN 在产品 P1
    25. 

  25. //   的授权范围不应扩散到 P2 的组织结构视图。
    26. 

  26. //
    27. 

  27. // 测试数据:一棵 "/100/" 根下挂 "/100/1/"、"/100/1/5/",以及一个平行分支 "/200/"。
    28. 

  28. // 期望:caller DeptPath="/100/1/" 只能看到 "/100/1/" 和 "/100/1/5/";
    29. 

  29. //       SuperAdmin 看到完整的 `/100/` + `/200/` 两个根。
    30. 

  30. // ---------------------------------------------------------------------------
    31. 

  31. 

  32. var allDepts = []*deptModel.SysDept{
    33. 

  33. 	{Id: 100, ParentId: 0, Path: "/100/", Name: "root"},
    34. 

  34. 	{Id: 1, ParentId: 100, Path: "/100/1/", Name: "childA"},
    35. 

  35. 	{Id: 5, ParentId: 1, Path: "/100/1/5/", Name: "grandchild"},
    36. 

  36. 	{Id: 2, ParentId: 100, Path: "/100/2/", Name: "childB"},
    37. 

  37. 	{Id: 200, ParentId: 0, Path: "/200/", Name: "siblingRoot"},
    38. 

  38. }
    39. 

  39. 

  40. func ctxWith(caller *loaders.UserDetails) context.Context {
    41. 

  41. 	return middleware.WithUserDetails(context.Background(), caller)
    42. 

  42. }
    43. 

  43. 

  44. // TC-0855: MEMBER DeptPath="/100/1/" 应只看到 "/100/1/" 和 "/100/1/5/",且局部根就是 "/100/1/"。
    45. 

  45. func TestDeptTree_Member_PrunedToSubtree(t *testing.T) {
    46. 

  46. 	ctrl := gomock.NewController(t)
    47. 

  47. 	t.Cleanup(ctrl.Finish)
    48. 

  48. 

  49. 	deptMock := mocks.NewMockSysDeptModel(ctrl)
    50. 

  50. 	deptMock.EXPECT().FindAll(gomock.Any()).Return(allDepts, nil)
    51. 

  51. 

  52. 	svcCtx := mocks.NewMockServiceContext(mocks.MockModels{Dept: deptMock})
    53. 

  53. 

  54. 	caller := &loaders.UserDetails{
    55. 

  55. 		UserId: 42, IsSuperAdmin: false, MemberType: consts.MemberTypeMember,
    56. 

  56. 		DeptId: 1, DeptPath: "/100/1/", ProductCode: "pA",
    57. 

  57. 	}
    58. 

  58. 	tree, err := NewDeptTreeLogic(ctxWith(caller), svcCtx).DeptTree()
    59. 

  59. 	require.NoError(t, err)
    60. 

  60. 

  61. 	// 剪枝后只剩 2 个节点;根仍应只有一个(id=1,grandchild 挂在其下)。
    62. 

  62. 	require.Len(t, tree, 1, "剪枝后根只剩 1 个(caller 所在部门)")
    63. 

  63. 	assert.Equal(t, int64(1), tree[0].Id, "局部根必须是 /100/1/,不得把 /100/ 也暴露")
    64. 

  64. 	assert.Equal(t, "/100/1/", tree[0].Path)
    65. 

  65. 	require.Len(t, tree[0].Children, 1, "grandchild 必须挂在局部根下")
    66. 

  66. 	assert.Equal(t, int64(5), tree[0].Children[0].Id)
    67. 

  67. }
    68. 

  68. 

  69. // TC-0856: MEMBER DeptPath="" —— 返回空切片,即使 DB 有数据。
    70. 

  70. func TestDeptTree_OrphanMember_ReturnsEmpty(t *testing.T) {
    71. 

  71. 	ctrl := gomock.NewController(t)
    72. 

  72. 	t.Cleanup(ctrl.Finish)
    73. 

  73. 

  74. 	deptMock := mocks.NewMockSysDeptModel(ctrl)
    75. 

  75. 	// 注意:当前实现会先 FindAll 再剪枝,空 DeptPath 直接走空返回,但 FindAll 仍被调用一次(有些成本),
    76. 

  76. 	// 这里设置 AnyTimes 适配 "就算调用一次也可以"。
    77. 

  77. 	deptMock.EXPECT().FindAll(gomock.Any()).Return(allDepts, nil).AnyTimes()
    78. 

  78. 

  79. 	svcCtx := mocks.NewMockServiceContext(mocks.MockModels{Dept: deptMock})
    80. 

  80. 

  81. 	caller := &loaders.UserDetails{
    82. 

  82. 		UserId: 43, IsSuperAdmin: false, MemberType: consts.MemberTypeMember,
    83. 

  83. 		DeptId: 0, DeptPath: "", ProductCode: "pA",
    84. 

  84. 	}
    85. 

  85. 	tree, err := NewDeptTreeLogic(ctxWith(caller), svcCtx).DeptTree()
    86. 

  86. 	require.NoError(t, err)
    87. 

  87. 	assert.Len(t, tree, 0, "DeptPath 为空必须返回空树,不能泄露组织结构")
    88. 

  88. }
    89. 

  89. 

  90. // TC-0857(L-R15-2 后契约反转):产品 ADMIN 不再拥有 fullAccess——只能看到以 DeptPath
    91. 

  91. // 为根的子树,与 MEMBER / DEVELOPER 同路径。
    92. 

  92. //
    93. 

  93. // 关键断言不只是"根只剩 1 个",还要显式证明 "平行分支 /200/ 对 ADMIN 不可见",
    94. 

  94. // 以免未来如果有人把条件从 `caller.IsSuperAdmin` 又放宽回 `|| MemberType == Admin`,
    95. 

  95. // 本测试能在第一次 run 立刻飘红。
    96. 

  96. func TestDeptTree_Admin_PrunedToSubtree(t *testing.T) {
    97. 

  97. 	ctrl := gomock.NewController(t)
    98. 

  98. 	t.Cleanup(ctrl.Finish)
    99. 

  99. 

  100. 	deptMock := mocks.NewMockSysDeptModel(ctrl)
    101. 

  101. 	deptMock.EXPECT().FindAll(gomock.Any()).Return(allDepts, nil)
    102. 

  102. 

  103. 	svcCtx := mocks.NewMockServiceContext(mocks.MockModels{Dept: deptMock})
    104. 

  104. 

  105. 	caller := &loaders.UserDetails{
    106. 

  106. 		UserId: 2, IsSuperAdmin: false, MemberType: consts.MemberTypeAdmin,
    107. 

  107. 		DeptId: 1, DeptPath: "/100/1/", ProductCode: "pA",
    108. 

  108. 	}
    109. 

  109. 	tree, err := NewDeptTreeLogic(ctxWith(caller), svcCtx).DeptTree()
    110. 

  110. 	require.NoError(t, err)
    111. 

  111. 

  112. 	require.Len(t, tree, 1,
    113. 

  113. 		"L-R15-2:产品 ADMIN 不再享有 fullAccess,剪枝后局部根只有 1 个(caller 自己的 DeptPath)")
    114. 

  114. 	assert.Equal(t, int64(1), tree[0].Id,
    115. 

  115. 		"局部根必须是 /100/1/,父部门 /100/ 不应暴露给 ADMIN")
    116. 

  116. 	assert.Equal(t, "/100/1/", tree[0].Path)
    117. 

  117. 	require.Len(t, tree[0].Children, 1, "grandchild /100/1/5/ 必须挂在局部根下")
    118. 

  118. 	assert.Equal(t, int64(5), tree[0].Children[0].Id)
    119. 

  119. 

  120. 	for _, r := range tree {
    121. 

  121. 		assert.NotEqual(t, int64(200), r.Id,
    122. 

  122. 			"平行分支 /200/ 对产品 ADMIN 必须不可见——若回归到旧 fullAccess,这里立刻飘红")
    123. 

  123. 		assert.NotEqual(t, int64(100), r.Id,
    124. 

  124. 			"父部门 /100/ 也不应暴露给 ADMIN(同上)")
    125. 

  125. 	}
    126. 

  126. }
    127. 

  127. 

  128. // TC-1128:SuperAdmin 仍然享有 fullAccess,完整树返回两个根(/100/ + /200/)。
    129. 

  129. // 这一条是 L-R15-2 收敛范围的正向回归:确认 `fullAccess = caller.IsSuperAdmin`
    130. 

  130. // 的 true 分支未被连带削弱(否则超管运营视角会瘫痪)。
    131. 

  131. func TestDeptTree_SuperAdmin_FullTree(t *testing.T) {
    132. 

  132. 	ctrl := gomock.NewController(t)
    133. 

  133. 	t.Cleanup(ctrl.Finish)
    134. 

  134. 

  135. 	deptMock := mocks.NewMockSysDeptModel(ctrl)
    136. 

  136. 	deptMock.EXPECT().FindAll(gomock.Any()).Return(allDepts, nil)
    137. 

  137. 

  138. 	svcCtx := mocks.NewMockServiceContext(mocks.MockModels{Dept: deptMock})
    139. 

  139. 

  140. 	// 即便 DeptPath 指定成某具体子部门,SuperAdmin 也必须拿到全局树——
    141. 

  141. 	// fullAccess 判定是 IsSuperAdmin 而不是 DeptPath。
    142. 

  142. 	caller := &loaders.UserDetails{
    143. 

  143. 		UserId: 1, IsSuperAdmin: true, MemberType: consts.MemberTypeAdmin,
    144. 

  144. 		DeptId: 100, DeptPath: "/100/", ProductCode: "pA",
    145. 

  145. 	}
    146. 

  146. 	tree, err := NewDeptTreeLogic(ctxWith(caller), svcCtx).DeptTree()
    147. 

  147. 	require.NoError(t, err)
    148. 

  148. 

  149. 	require.Len(t, tree, 2, "SuperAdmin 必须看到完整树,包含所有平行根")
    150. 

  150. 	var rootIds []int64
    151. 

  151. 	for _, r := range tree {
    152. 

  152. 		rootIds = append(rootIds, r.Id)
    153. 

  153. 	}
    154. 

  154. 	assert.ElementsMatch(t, []int64{100, 200}, rootIds,
    155. 

  155. 		"SuperAdmin 走 fullAccess 分支,平行根 /100/ 与 /200/ 必须同时出现")
    156. 

  156. }
    157. 

  157. 

  158. // TC-1129:产品 DEVELOPER 与 MEMBER 同路径——只能看自己 DeptPath 的子树。
    159. 

  159. // 这一条补齐 L-R15-2 的"角色对称"覆盖:fullAccess 判定只认 SuperAdmin,
    160. 

  160. // ADMIN / DEVELOPER / MEMBER 三者剪枝语义必须完全一致。
    161. 

  161. func TestDeptTree_Developer_PrunedToSubtree(t *testing.T) {
    162. 

  162. 	ctrl := gomock.NewController(t)
    163. 

  163. 	t.Cleanup(ctrl.Finish)
    164. 

  164. 

  165. 	deptMock := mocks.NewMockSysDeptModel(ctrl)
    166. 

  166. 	deptMock.EXPECT().FindAll(gomock.Any()).Return(allDepts, nil)
    167. 

  167. 

  168. 	svcCtx := mocks.NewMockServiceContext(mocks.MockModels{Dept: deptMock})
    169. 

  169. 

  170. 	caller := &loaders.UserDetails{
    171. 

  171. 		UserId: 3, IsSuperAdmin: false, MemberType: consts.MemberTypeDeveloper,
    172. 

  172. 		DeptId: 1, DeptPath: "/100/1/", ProductCode: "pA",
    173. 

  173. 	}
    174. 

  174. 	tree, err := NewDeptTreeLogic(ctxWith(caller), svcCtx).DeptTree()
    175. 

  175. 	require.NoError(t, err)
    176. 

  176. 

  177. 	require.Len(t, tree, 1, "DEVELOPER 同样不享有 fullAccess,只能看到自己子树")
    178. 

  178. 	assert.Equal(t, int64(1), tree[0].Id, "局部根必须是 /100/1/")
    179. 

  179. 	for _, r := range tree {
    180. 

  180. 		assert.NotEqual(t, int64(200), r.Id,
    181. 

  181. 			"平行分支 /200/ 对 DEVELOPER 同样不可见")
    182. 

  182. 	}
    183. 

  183. }
    184.