perms-system-server/internal/logic/pub/loginServiceConstantTime_audit_test.go

package pub

import (
	"context"
	"errors"
	"testing"

	"perms-system-server/internal/testutil"

	"github.com/stretchr/testify/assert"
	"github.com/stretchr/testify/require"
)

// ---------------------------------------------------------------------------
// 覆盖目标：审计第 6 轮 H-2 修复回归。
//
// H-2 的本质：`ValidateProductLogin` 里"账号冻结"、"是超管"、"用户不存在"三条
// 错误路径在修复前存在 **耗时 + 错误消息 + HTTP code** 三重差异，构成
// 账号存在性 / 状态 oracle。修复后：
//   - bcrypt 无条件执行（dummy hash 对齐耗时）
//   - 只有密码正确之后才披露"冻结"/"超管"语义
//   - 用户名不存在 / 存在但密码错 / 存在但冻结且密码错 → 统一 401 "用户名或密码错误"
//
// 这些用例把上面契约全部钉死：任何一条被回退到"先检查 status 再 bcrypt"的旧路径，
// 对应 TC 立刻 FAIL。
// ---------------------------------------------------------------------------

// TC-0838: 冻结用户 + 错误密码 —— 必须返回 401 "用户名或密码错误"，禁止泄露冻结态。
func TestValidateProductLogin_FrozenWrongPassword_Return401(t *testing.T) {
	ctx := context.Background()
	svcCtx := newTestSvcCtx()
	svcCtx.UsernameLoginLimit = nil // 隔离本测试变量

	username := "h2_frozen_wrong_" + testutil.UniqueId()
	// status=2（冻结），isSuperAdmin=2（非超管）
	_, clean := insertRefreshTestUser(t, ctx, username, "CorrectPass123", 2, 2)
	t.Cleanup(clean)

	_, err := ValidateProductLogin(ctx, svcCtx, username, "WrongPass", "test_product", "127.0.0.1")
	require.Error(t, err)

	var le *LoginError
	require.True(t, errors.As(err, &le))
	assert.Equal(t, 401, le.Code,
		"H-2：冻结用户 + 错误密码不得返回 403；必须 401 与'用户不存在/密码错'三合一")
	assert.Equal(t, "用户名或密码错误", le.Message,
		"H-2：文案不得泄露冻结态")
}

// TC-0839: 冻结用户 + 正确密码 —— 此时才允许披露"账号已被冻结"（攻击者已经猜中密码，继续隐藏已无意义）。
func TestValidateProductLogin_FrozenCorrectPassword_Return403(t *testing.T) {
	ctx := context.Background()
	svcCtx := newTestSvcCtx()
	svcCtx.UsernameLoginLimit = nil

	username := "h2_frozen_right_" + testutil.UniqueId()
	_, clean := insertRefreshTestUser(t, ctx, username, "RightPass123", 2, 2)
	t.Cleanup(clean)

	_, err := ValidateProductLogin(ctx, svcCtx, username, "RightPass123", "test_product", "127.0.0.1")
	require.Error(t, err)

	var le *LoginError
	require.True(t, errors.As(err, &le))
	assert.Equal(t, 403, le.Code, "H-2：密码正确后的冻结分支仍走 403 披露")
	assert.Equal(t, "账号已被冻结", le.Message)
}

// TC-0840: 超管走产品端 + 错误密码 —— 不得提前暴露"该账号是超管"。
func TestValidateProductLogin_SuperAdminWrongPassword_Return401(t *testing.T) {
	ctx := context.Background()
	svcCtx := newTestSvcCtx()
	svcCtx.UsernameLoginLimit = nil

	username := "h2_sa_wrong_" + testutil.UniqueId()
	// status=1（启用），isSuperAdmin=1（超管）
	_, clean := insertRefreshTestUser(t, ctx, username, "RightPass123", 1, 1)
	t.Cleanup(clean)

	_, err := ValidateProductLogin(ctx, svcCtx, username, "WrongPass", "test_product", "127.0.0.1")
	require.Error(t, err)

	var le *LoginError
	require.True(t, errors.As(err, &le))
	assert.Equal(t, 401, le.Code,
		"H-2：超管 + 错误密码必须归一到 401'用户名或密码错误'，不得提前披露超管身份")
	assert.Equal(t, "用户名或密码错误", le.Message)
}

// TC-0841: 超管走产品端 + 正确密码 —— 密码正确后才披露"超管请走管理后台"。
func TestValidateProductLogin_SuperAdminCorrectPassword_Return403(t *testing.T) {
	ctx := context.Background()
	svcCtx := newTestSvcCtx()
	svcCtx.UsernameLoginLimit = nil

	username := "h2_sa_right_" + testutil.UniqueId()
	_, clean := insertRefreshTestUser(t, ctx, username, "RightPass123", 1, 1)
	t.Cleanup(clean)

	_, err := ValidateProductLogin(ctx, svcCtx, username, "RightPass123", "test_product", "127.0.0.1")
	require.Error(t, err)

	var le *LoginError
	require.True(t, errors.As(err, &le))
	assert.Equal(t, 403, le.Code)
	assert.Equal(t, "超级管理员不允许通过产品端登录，请使用管理后台", le.Message)
}

// TC-0842: 用户名不存在 —— 沿用 dummy bcrypt 恒时对齐，文案必须与 TC-0838 完全一致。
// 这条是三重 oracle 消除的"对照组"，缺了它单看 0838/0840 还不能证明"三路归一"。
func TestValidateProductLogin_UnknownUserSame401(t *testing.T) {
	ctx := context.Background()
	svcCtx := newTestSvcCtx()
	svcCtx.UsernameLoginLimit = nil

	_, err := ValidateProductLogin(ctx, svcCtx, "h2_noexist_"+testutil.UniqueId(), "anypwd", "test_product", "127.0.0.1")
	require.Error(t, err)

	var le *LoginError
	require.True(t, errors.As(err, &le))
	assert.Equal(t, 401, le.Code)
	assert.Equal(t, "用户名或密码错误", le.Message,
		"H-2：未知用户 / 冻结+错密 / 存在+错密 三路必须归一为同一 401 + 文案")
}