perms-system-server/internal/model/productmember/sysProductMemberModel.go

package productmember

import (
	"context"
	"fmt"

	"perms-system-server/internal/consts"

	"github.com/zeromicro/go-zero/core/stores/cache"
	"github.com/zeromicro/go-zero/core/stores/sqlx"
)

var _ SysProductMemberModel = (*customSysProductMemberModel)(nil)

type (
	SysProductMemberModel interface {
		sysProductMemberModel
		FindListByProductCode(ctx context.Context, productCode string, page, pageSize int64) ([]*SysProductMember, int64, error)
		// CountOtherActiveAdminsTx 统计"除 excludeId 这一行以外"的启用 ADMIN 数量，是
		// "不能移除/降级最后一个 admin"这条不变式的唯一出口。之前同批引入的
		// CountActiveAdminsTx（不带 Other）业务层零调用（调用方反向推导更绕且易错），
		// 审计 L-2 要求直接删除以收敛接口 surface area、规避"应该用哪一个"的歧义。
		CountOtherActiveAdminsTx(ctx context.Context, session sqlx.Session, productCode string, excludeId int64) (int64, error)
		FindOneForUpdateTx(ctx context.Context, session sqlx.Session, id int64) (*SysProductMember, error)
		// FindOneForShareTx 在当前事务里对 sys_product_member 目标行取 S 锁
		// （SELECT ... LOCK IN SHARE MODE）。用于"事务外读 memberType → 事务内 DeleteByUserIdForProductTx
		// + BatchInsertWithTx(DENY 行)"的 TOCTOU 闭环（审计 L-R13-2）：UpdateMember / RemoveMember
		// 会对该行取 X 锁，被本 S 锁阻塞；本事务提交前 member.memberType 不会被并发改写，
		// DENY 脏行"能写永不生效"的数据污染被收敛。本方法不走缓存，必须在 TransactCtx / Session 下调用。
		FindOneForShareTx(ctx context.Context, session sqlx.Session, id int64) (*SysProductMember, error)
		// FindActiveMemberUserIdsByProductCodeTx 在当前事务里返回某产品下所有启用成员的 userId 列表，
		// 供 UpdateProduct 禁用时批量递增对应 sys_user.tokenVersion 吊销 session（审计 L-R15-3）。
		// 使用 LOCK IN SHARE MODE：与并发 AddMember / UpdateMember / RemoveMember 的 X 锁互斥，
		// 保证在"拿到 userId 列表 → 批量 UPDATE sys_user"这段窗口里，member 行集合不会被并发改写
		// 导致新加入的成员 token 没被吊销、或已被移除的成员 token 被误吊销。按 `id` 排序保证锁获取
		// 顺序稳定，防止与其它按主键序扫描的事务互相死锁。
		FindActiveMemberUserIdsByProductCodeTx(ctx context.Context, session sqlx.Session, productCode string) ([]int64, error)
		FindByUserId(ctx context.Context, userId int64) ([]*SysProductMember, error)
	}

	customSysProductMemberModel struct {
		*defaultSysProductMemberModel
	}
)

func NewSysProductMemberModel(conn sqlx.SqlConn, c cache.CacheConf, cachePrefix string, opts ...cache.Option) SysProductMemberModel {
	return &customSysProductMemberModel{
		defaultSysProductMemberModel: newSysProductMemberModel(conn, c, cachePrefix, opts...),
	}
}

func (m *customSysProductMemberModel) FindListByProductCode(ctx context.Context, productCode string, page, pageSize int64) ([]*SysProductMember, int64, error) {
	var total int64
	countQuery := fmt.Sprintf("SELECT COUNT(*) FROM %s WHERE `productCode` = ?", m.table)
	if err := m.QueryRowNoCacheCtx(ctx, &total, countQuery, productCode); err != nil {
		return nil, 0, err
	}

	var list []*SysProductMember
	query := fmt.Sprintf("SELECT %s FROM %s WHERE `productCode` = ? ORDER BY id DESC LIMIT ?,?", sysProductMemberRows, m.table)
	if err := m.QueryRowsNoCacheCtx(ctx, &list, query, productCode, (page-1)*pageSize, pageSize); err != nil {
		return nil, 0, err
	}

	return list, total, nil
}

// CountOtherActiveAdminsTx 统计"除 excludeId 这一行以外"的启用 ADMIN 数量。调用方一般把即将被删除
// 或即将被降级的目标行 id 传进来；返回 0 即表示目标是最后一个 active admin，不能动。相比
// CountActiveAdminsTx + adminCount <= 1 的反向推理，语义更贴合业务（见审计 L-5 / L-2）。
// 仍然使用 FOR UPDATE 锁住扫描范围，串行化与并发降级/删除的冲突。
func (m *customSysProductMemberModel) CountOtherActiveAdminsTx(ctx context.Context, session sqlx.Session, productCode string, excludeId int64) (int64, error) {
	// 审计 L-R10-6：直接 SELECT COUNT(*) 即可，无需把匹配行的 id 全部回灌到应用层——后者对极端场景
	// （一产品 admin 数量异常多）会多一笔可避免的内存开销。FOR UPDATE 仍然保留，串行化"移除/降级最后
	// 一个 admin"的并发冲突；InnoDB 在 COUNT(*) ... FOR UPDATE 下会对匹配的索引/行同样加写锁。
	var count int64
	query := fmt.Sprintf("SELECT COUNT(*) FROM %s WHERE `productCode` = ? AND `memberType` = ? AND `status` = ? AND `id` != ? FOR UPDATE", m.table)
	if err := session.QueryRowCtx(ctx, &count, query, productCode, consts.MemberTypeAdmin, consts.StatusEnabled, excludeId); err != nil {
		return 0, err
	}
	return count, nil
}

func (m *customSysProductMemberModel) FindOneForUpdateTx(ctx context.Context, session sqlx.Session, id int64) (*SysProductMember, error) {
	var data SysProductMember
	query := fmt.Sprintf("SELECT %s FROM %s WHERE `id` = ? FOR UPDATE", sysProductMemberRows, m.table)
	if err := session.QueryRowCtx(ctx, &data, query, id); err != nil {
		return nil, err
	}
	return &data, nil
}

// FindOneForShareTx 见接口注释（审计 L-R13-2）。
func (m *customSysProductMemberModel) FindOneForShareTx(ctx context.Context, session sqlx.Session, id int64) (*SysProductMember, error) {
	var data SysProductMember
	query := fmt.Sprintf("SELECT %s FROM %s WHERE `id` = ? LOCK IN SHARE MODE", sysProductMemberRows, m.table)
	if err := session.QueryRowCtx(ctx, &data, query, id); err != nil {
		return nil, err
	}
	return &data, nil
}

// FindByUserId 查询指定用户加入的所有产品成员记录，用于"用户产品列表"接口。
func (m *customSysProductMemberModel) FindByUserId(ctx context.Context, userId int64) ([]*SysProductMember, error) {
	var list []*SysProductMember
	query := fmt.Sprintf("SELECT %s FROM %s WHERE `userId` = ? ORDER BY `id` DESC", sysProductMemberRows, m.table)
	if err := m.QueryRowsNoCacheCtx(ctx, &list, query, userId); err != nil {
		return nil, err
	}
	return list, nil
}

// FindActiveMemberUserIdsByProductCodeTx 见接口注释（审计 L-R15-3）。
func (m *customSysProductMemberModel) FindActiveMemberUserIdsByProductCodeTx(ctx context.Context, session sqlx.Session, productCode string) ([]int64, error) {
	var ids []int64
	query := fmt.Sprintf("SELECT `userId` FROM %s WHERE `productCode` = ? AND `status` = ? ORDER BY `id` LOCK IN SHARE MODE", m.table)
	if err := session.QueryRowsCtx(ctx, &ids, query, productCode, consts.StatusEnabled); err != nil {
		return nil, err
	}
	return ids, nil
}