perms-system-server/internal/logic/member/addMemberLogic.go

package member

import (
	"context"
	"time"

	"perms-system-server/internal/consts"
	"perms-system-server/internal/loaders"
	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/model/productmember"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"
	"perms-system-server/internal/util"

	"github.com/zeromicro/go-zero/core/logx"
)

type AddMemberLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewAddMemberLogic(ctx context.Context, svcCtx *svc.ServiceContext) *AddMemberLogic {
	return &AddMemberLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// AddMember 添加产品成员。将已有用户加入指定产品并设置成员类型（ADMIN/DEVELOPER/MEMBER），需产品 ADMIN 或超管权限。产品必须已启用。
func (l *AddMemberLogic) AddMember(req *types.AddMemberReq) (resp *types.IdResp, err error) {
	// 审计 L-R13-1：把"无权调此接口"的 403 提到所有实体读取之前。原先顺序（读产品 → 读用户 →
	// memberType 字面校验 → RequireProductAdminFor）会让任何持有有效 JWT 的用户（即便只是
	// MEMBER）通过响应码差分枚举"产品 code 是否在线 / 是否被禁用"以及"userId 是否存在 / 是否
	// 已冻结"两条事实——比 R10-10 封住的 GetUserPerms 枚举面更宽。req.ProductCode 是入参，
	// RequireProductAdminFor 已经在此处承担了"仅允许该产品 ADMIN/超管"的鉴权，提前不会改变
	// 业务语义，仅把枚举面收敛到"已经拥有该产品 ADMIN 身份"的调用方内部。
	if err := authHelper.RequireProductAdminFor(l.ctx, req.ProductCode); err != nil {
		return nil, err
	}
	// 字面校验在 DB 读之前一并做掉——对非法 memberType 的请求直接 400，无需耗费 DB/缓存。
	if req.MemberType != consts.MemberTypeAdmin &&
		req.MemberType != consts.MemberTypeDeveloper &&
		req.MemberType != consts.MemberTypeMember {
		return nil, response.ErrBadRequest("无效的成员类型")
	}
	if err := authHelper.CheckMemberTypeAssignment(l.ctx, req.MemberType); err != nil {
		return nil, err
	}

	product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, req.ProductCode)
	if err != nil {
		return nil, response.ErrNotFound("产品不存在")
	}
	if product.Status != consts.StatusEnabled {
		return nil, response.ErrBadRequest("产品已被禁用，无法添加成员")
	}
	targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId)
	if err != nil {
		return nil, response.ErrNotFound("用户不存在")
	}
	if targetUser.Status != consts.StatusEnabled {
		return nil, response.ErrBadRequest("用户已被冻结，无法添加为成员")
	}

	// 显式拒绝把超管拉入具体产品：loadMembership 虽然会把超管的 MemberType 固定为 SuperAdmin
	// 让实际权限不受影响，但 sys_product_member 里会留下一条"product_admin 纳管了 super_admin"
	// 的假成员关系，污染审计日志 / 权限推理工具（见审计 H-3）。
	if targetUser.IsSuperAdmin == consts.IsSuperAdminYes {
		return nil, response.ErrForbidden("无法将超级管理员加入具体产品")
	}

	// 补齐目标侧部门链授权：原先只做 RequireProductAdminFor（caller 侧），产品 ADMIN 就能把任意
	// 部门树外的用户（HR、财务、其他 BU）强行拉进自己的产品，叠加 H-2 PII 暴露后可以"随便拉人 →
	// 读全员 PII"。这里用 CheckAddMemberAccess 而不是 CheckManageAccess：
	//  1. target 还不是成员，checkPermLevel 对它必定落空报 403，会整体打穿 product-ADMIN 的添加流程；
	//  2. product-ADMIN 在 CheckManageAccess 中本身就会短路 checkDeptHierarchy，无法真正拦住跨
	//     部门拉人。CheckAddMemberAccess 专门为 AddMember 这类"target 尚未进入成员池"的前置流程
	//     设计，对 product ADMIN 也强制执行部门链校验（见审计 H-3）。
	if err := authHelper.CheckAddMemberAccess(l.ctx, l.svcCtx, targetUser); err != nil {
		return nil, err
	}

	_, findErr := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, req.ProductCode, req.UserId)
	if findErr == nil {
		return nil, response.ErrConflict("该用户已是该产品成员")
	}

	now := time.Now().Unix()
	result, err := l.svcCtx.SysProductMemberModel.Insert(l.ctx, &productmember.SysProductMember{
		ProductCode: req.ProductCode,
		UserId:      req.UserId,
		MemberType:  req.MemberType,
		Status:      consts.StatusEnabled,
		CreateTime:  now,
		UpdateTime:  now,
	})
	if err != nil {
		if util.IsDuplicateEntryErr(err) {
			return nil, response.ErrConflict("该用户已是该产品成员")
		}
		return nil, err
	}

	// 审计 L-R13-5 方案 A：新成员插入后旧的"非成员"负缓存语义必须立刻失效——用 detached ctx
	// 防止 HTTP 层取消把 UD 旧状态悬挂到 TTL 结束。
	cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx)
	defer cancel()
	l.svcCtx.UserDetailsLoader.Del(cleanCtx, req.UserId, req.ProductCode)

	id, _ := result.LastInsertId()
	return &types.IdResp{Id: id}, nil
}