weiym
/
perms-system-server


			
				
					
						
						
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107
							package role

import (
	"context"
	"time"

	"perms-system-server/internal/consts"
	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/middleware"
	roleModel "perms-system-server/internal/model/role"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"
	"perms-system-server/internal/util"

	"github.com/zeromicro/go-zero/core/logx"
)

type CreateRoleLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewCreateRoleLogic(ctx context.Context, svcCtx *svc.ServiceContext) *CreateRoleLogic {
	return &CreateRoleLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// CreateRole 创建角色。在指定产品下新建角色并设置权限级别，需产品 ADMIN 或超管权限。产品必须存在且已启用。
func (l *CreateRoleLogic) CreateRole(req *types.CreateRoleReq) (resp *types.IdResp, err error) {
	caller := middleware.GetUserDetails(l.ctx)
	if caller == nil {
		return nil, response.ErrUnauthorized("未登录")
	}

	var productCode string
	if caller.IsSuperAdmin {
		if req.ProductCode == "" {
			return nil, response.ErrBadRequest("必须指定产品编码")
		}
		productCode = req.ProductCode
	} else {
		productCode = middleware.GetProductCode(l.ctx)
		if productCode == "" {
			return nil, response.ErrForbidden("缺少产品上下文")
		}
	}

	if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil {
		return nil, err
	}

	product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, productCode)
	if err != nil {
		return nil, response.ErrNotFound("产品不存在")
	}
	if product.Status != consts.StatusEnabled {
		return nil, response.ErrBadRequest("产品已被禁用，无法创建角色")
	}

	if len(req.Name) > 64 {
		return nil, response.ErrBadRequest("角色名长度不能超过64个字符")
	}
	if len(req.Remark) > 255 {
		return nil, response.ErrBadRequest("备注长度不能超过255个字符")
	}

	if req.PermsLevel < 1 || req.PermsLevel > 999 {
		return nil, response.ErrBadRequest("权限级别必须在 1-999 之间")
	}

	// 审计 H-R17-3：镜像 UpdateRole 的 L-R12-3 防提权（"非超管不能提升角色的权限级别"），
	// 但 CreateRole 的口径比 UpdateRole 更严——UpdateRole 限制的是"已有角色往更高权限挪"，
	// CreateRole 如果不限制，product ADMIN 可以直接造出 permsLevel=1 的顶格角色，再走 BindRoles
	// 把下属 MEMBER/DEVELOPER 顶到 ADMIN 线（下一次 UD 重建时 MinPermsLevel=1），绕过 BindRoles
	// 的 GuardRoleLevelAssignable "同级拦截"。GuardCreateRolePermsLevel 把这条短路堵死：
	//   - SuperAdmin 不受限；
	//   - 非超管（含 product ADMIN / DEVELOPER）创建时 permsLevel 必须 >= 2，permsLevel=1
	//     作为"顶格语义"只允许 SuperAdmin 所生。
	if err := authHelper.GuardCreateRolePermsLevel(l.ctx, l.svcCtx, caller, req.PermsLevel); err != nil {
		return nil, err
	}

	now := time.Now().Unix()
	result, err := l.svcCtx.SysRoleModel.Insert(l.ctx, &roleModel.SysRole{
		ProductCode: productCode,
		Name:        req.Name,
		Remark:      req.Remark,
		Status:      consts.StatusEnabled,
		PermsLevel:  req.PermsLevel,
		CreateTime:  now,
		UpdateTime:  now,
	})
	if err != nil {
		if util.IsDuplicateEntryErr(err) {
			return nil, response.ErrConflict("该产品下角色名已存在")
		}
		return nil, err
	}

	id, _ := result.LastInsertId()
	return &types.IdResp{Id: id}, nil
}