weiym
/
perms-system-server


			
				
					
						
						
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162
							package member

import (
	"context"
	"time"

	"perms-system-server/internal/consts"
	"perms-system-server/internal/loaders"
	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"

	"github.com/zeromicro/go-zero/core/logx"
	"github.com/zeromicro/go-zero/core/stores/sqlx"
)

type UpdateMemberLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewUpdateMemberLogic(ctx context.Context, svcCtx *svc.ServiceContext) *UpdateMemberLogic {
	return &UpdateMemberLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// UpdateMember 更新产品成员。修改成员类型或启用/禁用状态。降级最后一个 ADMIN 时会被拒绝以保证产品始终有管理员。
// 审计 L-R11-1：memberType / status 均为指针可选，nil 表示不改该字段；两者都为 nil 时直接 400。
//
// 审计 M-R15-1 / L-R15-3（降权强制重登录）：
// 任何"从 {ADMIN, DEVELOPER} 向 MEMBER 的迁移"或"从 Enabled 向 Disabled 的迁移"，在事务内
// 除了更新 sys_product_member 之外还会对目标的 sys_user.tokenVersion 做一次 +1。这样哪怕
// 事务提交后的 UserDetailsLoader.Del 因为 Redis 抖动失败，旧 access token 在下一次
// middleware 校验时也会因 `claims.TokenVersion != ud.TokenVersion` 被 401 踢出；下一次
// Login / RefreshToken 会重新签发含新 memberType 的 token，并把新 UD 写回 Redis。
// 与 UpdateUserStatus / ChangePassword / Logout 的"强制会话失效"口径对齐——差别仅在于
// UpdateUserStatus 对全部状态变更都递增，UpdateMember 只在"权限收窄"的降权路径递增，避免
// MEMBER→ADMIN 这种"升权"场景把用户误踢（升权不构成对被管理方的实际损害）。
func (l *UpdateMemberLogic) UpdateMember(req *types.UpdateMemberReq) error {
	if req.MemberType == nil && req.Status == nil {
		return response.ErrBadRequest("请至少提供一个要更新的字段（memberType 或 status）")
	}

	member, err := l.svcCtx.SysProductMemberModel.FindOne(l.ctx, req.Id)
	if err != nil {
		return response.ErrNotFound("成员不存在")
	}

	nextType := member.MemberType
	if req.MemberType != nil {
		if *req.MemberType != consts.MemberTypeAdmin &&
			*req.MemberType != consts.MemberTypeDeveloper &&
			*req.MemberType != consts.MemberTypeMember {
			return response.ErrBadRequest("无效的成员类型")
		}
		nextType = *req.MemberType
	}

	if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, member.UserId, member.ProductCode); err != nil {
		return err
	}
	// 仅在 memberType 真的被改动时走 CheckMemberTypeAssignment：DEVELOPER 不得被普通 admin 分配，
	// 但"只改 status"的场景（已经是 DEVELOPER 的人冻结/启用）不应被该校验误拦。
	if req.MemberType != nil && nextType != member.MemberType {
		if err := authHelper.CheckMemberTypeAssignment(l.ctx, nextType); err != nil {
			return err
		}
	}

	nextStatus := member.Status
	if req.Status != nil {
		if *req.Status != consts.StatusEnabled && *req.Status != consts.StatusDisabled {
			return response.ErrBadRequest("状态值无效，仅支持 1(启用) 和 2(禁用)")
		}
		nextStatus = *req.Status
	}

	if nextType == member.MemberType && nextStatus == member.Status {
		return nil
	}

	// 审计 M-R15-1 / L-R15-3：判定是否构成"降权"——
	//   - wasPrivileged：locked.MemberType ∈ {ADMIN, DEVELOPER} 且 locked.Status=Enabled，或 locked.Status=Enabled
	//     （启用）两侧；为了与 M-R15-1 的描述对齐，"降权" = (先前享有 ADMIN/DEVELOPER 特权 → 现在没有) ∪
	//     (先前启用 → 现在禁用)。
	//   - 升权路径（MEMBER→ADMIN / Disabled→Enabled）明确**不**吊销 session：目标用户的既有会话
	//     并未因此拿到更高权限（memberType 在 UD 缓存里仍是旧值，必须等 Del 生效或 TTL 过期后
	//     重新 Load 才能真正"用上" ADMIN），强制重登录反而会给 caller 误操作一个"踢下线"的副作用。
	shouldRevokeSession := false
	tokenVersionTarget := &tokenVersionRevocation{}
	if err := l.svcCtx.SysProductMemberModel.TransactCtx(l.ctx, func(ctx context.Context, session sqlx.Session) error {
		locked, err := l.svcCtx.SysProductMemberModel.FindOneForUpdateTx(ctx, session, req.Id)
		if err != nil {
			return response.ErrNotFound("成员不存在")
		}
		wasActiveAdmin := locked.MemberType == consts.MemberTypeAdmin && locked.Status == consts.StatusEnabled
		willBeActiveAdmin := nextType == consts.MemberTypeAdmin && nextStatus == consts.StatusEnabled
		if wasActiveAdmin && !willBeActiveAdmin {
			// 排除当前正在降级/禁用的这一行后还有几个 active admin；为 0 时即为最后一个（见审计 L-5）。
			otherAdminCount, err := l.svcCtx.SysProductMemberModel.CountOtherActiveAdminsTx(ctx, session, member.ProductCode, locked.Id)
			if err != nil {
				return err
			}
			if otherAdminCount == 0 {
				return response.ErrBadRequest("不能降级或禁用该产品的最后一个管理员")
			}
		}
		// 权限收窄的两个维度：MemberType 从 {ADMIN,DEVELOPER} 掉到 MEMBER；或 Status 从 Enabled
		// 变 Disabled（被冻结的成员不应继续持有生效 token）。两者取并集。
		wasPrivilegedType := locked.MemberType == consts.MemberTypeAdmin || locked.MemberType == consts.MemberTypeDeveloper
		willBePrivilegedType := nextType == consts.MemberTypeAdmin || nextType == consts.MemberTypeDeveloper
		typeDowngraded := wasPrivilegedType && !willBePrivilegedType
		statusRevoked := locked.Status == consts.StatusEnabled && nextStatus == consts.StatusDisabled
		if typeDowngraded || statusRevoked {
			// 审计 M-R15-1 方案 A：事务内递增 sys_user.tokenVersion。放在 UpdateWithTx 之前，
			// 确保即便 member 行 UPDATE 失败，tokenVersion 也不会被污染（事务一起 rollback）。
			if _, err := l.svcCtx.SysUserModel.IncrementTokenVersionWithTx(ctx, session, locked.UserId); err != nil {
				return err
			}
			shouldRevokeSession = true
		}
		locked.MemberType = nextType
		locked.Status = nextStatus
		locked.UpdateTime = time.Now().Unix()
		tokenVersionTarget.userId = locked.UserId
		return l.svcCtx.SysProductMemberModel.UpdateWithTx(ctx, session, locked)
	}); err != nil {
		return err
	}

	// 审计 L-R13-5 方案 A：memberType / status 变更直接改 loadPerms 的全权分支判定，
	// UD 失效脱离请求 ctx 防止 TTL 窗口内旧权限继续生效。
	cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx)
	defer cancel()
	l.svcCtx.UserDetailsLoader.Del(cleanCtx, member.UserId, member.ProductCode)

	// 审计 M-R15-1 方案 A / L-R15-3：降权事务已把 sys_user.tokenVersion 打到 DB；post-commit 必须
	// 同步失效 sysUser 的低层缓存（cacheSysUserIdPrefix / cacheSysUserUsernamePrefix），否则
	// UD loader 下次 cache-miss 重建时会从 sysUser 低层缓存里拿到旧 tokenVersion，把刚递增过
	// 的值再一次抹回去。username 通过 SysUserModel.FindOne 取——该查询本身带缓存，几乎零成本。
	if shouldRevokeSession && tokenVersionTarget.userId > 0 {
		if user, err := l.svcCtx.SysUserModel.FindOne(cleanCtx, tokenVersionTarget.userId); err == nil && user != nil {
			l.svcCtx.SysUserModel.InvalidateProfileCache(cleanCtx, user.Id, user.Username)
		} else if err != nil {
			// FindOne 失败仅降级为日志：tokenVersion 已经落库，就算缓存没刷新，最坏也只是 TTL 过
			// 期后才能生效新版本，与既有 "UserDetailsLoader.Del 失败" 的降级路径等价。
			logx.WithContext(l.ctx).Errorf("UpdateMember post-commit FindOne(%d) failed for token-version cache invalidation: %v", tokenVersionTarget.userId, err)
		}
	}
	return nil
}

// tokenVersionRevocation 仅作为闭包外"事务内决定的 userId"载体，避免闭包捕获的字段被事务失败
// 时污染——shouldRevokeSession 是布尔标志，单独用零值默认即可安全跨越闭包边界。
type tokenVersionRevocation struct {
	userId int64
}