Accueil Explorer Aide
Connexion
weiym
/
perms-system-server
1
0
Fork 0
Fichiers Tickets 0 Pull Requests 0 Wiki
Aborescence: 62aafd53b1
Branches Tags
perms-system...
/
internal
/
logic
/
auth
/
checkManageAccessDeptZero_audit_test.go

checkManageAccessDeptZero_audit_test.go 3.1 KB
Historique Raw

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768 
  1. package auth
    2. 

  2. 

  3. import (
    4. 

  4. 	"context"
    5. 

  5. 	"os"
    6. 

  6. 	"testing"
    7. 

  7. 

  8. 	"perms-system-server/internal/consts"
    9. 

  9. 	"perms-system-server/internal/loaders"
    10. 

  10. 	"perms-system-server/internal/middleware"
    11. 

  11. 	"perms-system-server/internal/response"
    12. 

  12. 	"perms-system-server/internal/svc"
    13. 

  13. 	"perms-system-server/internal/testutil"
    14. 

  14. 

  15. 	"github.com/stretchr/testify/assert"
    16. 

  16. 	"github.com/stretchr/testify/require"
    17. 

  17. )
    18. 

  18. 

  19. // ---------------------------------------------------------------------------
    20. 

  20. // 审计 L-3(第 8 轮仍未落地)—— checkDeptHierarchy 对 caller.DeptId=0 / DeptPath=""
    21. 

  21. // 的历史 MEMBER / DEVELOPER 账号直接 403。
    22. 

  22. //
    23. 

  23. // 契约期望(fix 后):历史账号任意一次管理动作时,CheckManageAccess 要么走
    24. 

  24. //   (a) 明确的"未归属部门,拒绝管理他人"403(当前行为,方向正确但文案 / 审计缺失)
    25. 

  25. //   (b) 自动把缺失部门挪到默认部门 → 正常走部门链校验
    26. 

  26. // 无论走 (a) 还是 (b),都需要有 **response.CodeError 结构** 而不是普通 string error,
    27. 

  27. // 否则前端做不到"按错误码触发数据迁移工单"。
    28. 

  28. //
    29. 

  29. // 本测试用 skipPending 标签,方便 report 识别未落地审计项;fix 落地(或数据迁移脚本
    30. 

  30. // 跑完)后把 AUDIT_RUN_PENDING=1 打开并调整断言即可切换成真正的回归保护。
    31. 

  31. // ---------------------------------------------------------------------------
    32. 

  32. 

  33. const auditPendingEnv = "AUDIT_RUN_PENDING"
    34. 

  34. 

  35. func skipPending(t *testing.T, marker, reason string) {
    36. 

  36. 	t.Helper()
    37. 

  37. 	if os.Getenv(auditPendingEnv) != "" {
    38. 

  38. 		return
    39. 

  39. 	}
    40. 

  40. 	t.Skipf("AUDIT_PENDING %s (Round 8 fix 未落地) —— %s", marker, reason)
    41. 

  41. }
    42. 

  42. 

  43. // TC-0993: 历史 DEVELOPER(DeptId=0)对合法目标的管理操作 —— fix 后必须是
    44. 

  44. // 可识别的 response.CodeError,且带有迁移提示("您未归属任何部门"),让运维据此跑数据迁移。
    45. 

  45. func TestCheckManageAccess_L3_LegacyDeveloperWithDeptZero_MustReturnCodedError(t *testing.T) {
    46. 

  46. 	skipPending(t, "L-3",
    47. 

  47. 		"当前返回 403 但文案分叉('您未归属任何部门' / '您的部门信息异常'),审计建议"+
    48. 

  48. 			"合一为 '您未归属任何部门' 且带 CodeError.Code=403;fix 落地后移除 Skip")
    49. 

  49. 	ctx := context.Background()
    50. 

  50. 	svcCtx := svc.NewServiceContext(testutil.GetTestConfig())
    51. 

  51. 

  52. 	// caller 是 legacy developer,DeptId=0 / DeptPath=""。
    53. 

  53. 	callerCtx := middleware.WithUserDetails(ctx, &loaders.UserDetails{
    54. 

  54. 		UserId: 999001, Username: "legacy_dev", IsSuperAdmin: false,
    55. 

  55. 		MemberType: consts.MemberTypeDeveloper, Status: consts.StatusEnabled,
    56. 

  56. 		ProductCode: "test_product",
    57. 

  57. 		// DeptId=0, DeptPath="" —— legacy 账号
    58. 

  58. 	})
    59. 

  59. 

  60. 	err := CheckManageAccess(callerCtx, svcCtx, 999002 /* target */, "test_product")
    61. 

  61. 	require.Error(t, err, "L-3:legacy caller 必须被拒绝")
    62. 

  62. 

  63. 	var ce *response.CodeError
    64. 

  64. 	require.ErrorAs(t, err, &ce, "L-3:必须是 response.CodeError,不得为裸 error(前端无法据此触发迁移)")
    65. 

  65. 	assert.Equal(t, 403, ce.Code(), "L-3:必须是 403 以便前端分类")
    66. 

  66. 	assert.Contains(t, ce.Error(), "未归属",
    67. 

  67. 		"L-3:文案必须显式提示'未归属任何部门',便于人工判定是否需要跑数据迁移")
    68. 

  68. }
    69.