| 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105 |
- package member
- import (
- "context"
- "time"
- "perms-system-server/internal/consts"
- authHelper "perms-system-server/internal/logic/auth"
- "perms-system-server/internal/model/productmember"
- "perms-system-server/internal/response"
- "perms-system-server/internal/svc"
- "perms-system-server/internal/types"
- "perms-system-server/internal/util"
- "github.com/zeromicro/go-zero/core/logx"
- )
- type AddMemberLogic struct {
- logx.Logger
- ctx context.Context
- svcCtx *svc.ServiceContext
- }
- func NewAddMemberLogic(ctx context.Context, svcCtx *svc.ServiceContext) *AddMemberLogic {
- return &AddMemberLogic{
- Logger: logx.WithContext(ctx),
- ctx: ctx,
- svcCtx: svcCtx,
- }
- }
- // AddMember 添加产品成员。将已有用户加入指定产品并设置成员类型(ADMIN/DEVELOPER/MEMBER),需产品 ADMIN 或超管权限。产品必须已启用。
- func (l *AddMemberLogic) AddMember(req *types.AddMemberReq) (resp *types.IdResp, err error) {
- product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, req.ProductCode)
- if err != nil {
- return nil, response.ErrNotFound("产品不存在")
- }
- if product.Status != consts.StatusEnabled {
- return nil, response.ErrBadRequest("产品已被禁用,无法添加成员")
- }
- targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId)
- if err != nil {
- return nil, response.ErrNotFound("用户不存在")
- }
- if targetUser.Status != consts.StatusEnabled {
- return nil, response.ErrBadRequest("用户已被冻结,无法添加为成员")
- }
- if req.MemberType != consts.MemberTypeAdmin &&
- req.MemberType != consts.MemberTypeDeveloper &&
- req.MemberType != consts.MemberTypeMember {
- return nil, response.ErrBadRequest("无效的成员类型")
- }
- if err := authHelper.RequireProductAdminFor(l.ctx, req.ProductCode); err != nil {
- return nil, err
- }
- if err := authHelper.CheckMemberTypeAssignment(l.ctx, req.MemberType); err != nil {
- return nil, err
- }
- // 显式拒绝把超管拉入具体产品:loadMembership 虽然会把超管的 MemberType 固定为 SuperAdmin
- // 让实际权限不受影响,但 sys_product_member 里会留下一条"product_admin 纳管了 super_admin"
- // 的假成员关系,污染审计日志 / 权限推理工具(见审计 H-3)。
- if targetUser.IsSuperAdmin == consts.IsSuperAdminYes {
- return nil, response.ErrForbidden("无法将超级管理员加入具体产品")
- }
- // 补齐目标侧部门链授权:原先只做 RequireProductAdminFor(caller 侧),产品 ADMIN 就能把任意
- // 部门树外的用户(HR、财务、其他 BU)强行拉进自己的产品,叠加 H-2 PII 暴露后可以"随便拉人 →
- // 读全员 PII"。这里用 CheckAddMemberAccess 而不是 CheckManageAccess:
- // 1. target 还不是成员,checkPermLevel 对它必定落空报 403,会整体打穿 product-ADMIN 的添加流程;
- // 2. product-ADMIN 在 CheckManageAccess 中本身就会短路 checkDeptHierarchy,无法真正拦住跨
- // 部门拉人。CheckAddMemberAccess 专门为 AddMember 这类"target 尚未进入成员池"的前置流程
- // 设计,对 product ADMIN 也强制执行部门链校验(见审计 H-3)。
- if err := authHelper.CheckAddMemberAccess(l.ctx, l.svcCtx, targetUser); err != nil {
- return nil, err
- }
- _, findErr := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, req.ProductCode, req.UserId)
- if findErr == nil {
- return nil, response.ErrConflict("该用户已是该产品成员")
- }
- now := time.Now().Unix()
- result, err := l.svcCtx.SysProductMemberModel.Insert(l.ctx, &productmember.SysProductMember{
- ProductCode: req.ProductCode,
- UserId: req.UserId,
- MemberType: req.MemberType,
- Status: consts.StatusEnabled,
- CreateTime: now,
- UpdateTime: now,
- })
- if err != nil {
- if util.IsDuplicateEntryErr(err) {
- return nil, response.ErrConflict("该用户已是该产品成员")
- }
- return nil, err
- }
- l.svcCtx.UserDetailsLoader.Del(l.ctx, req.UserId, req.ProductCode)
- id, _ := result.LastInsertId()
- return &types.IdResp{Id: id}, nil
- }
|
