perms-system-server/internal/logic/user/bindRolesLogic.go

package user

import (
	"context"
	"errors"
	"time"

	"perms-system-server/internal/consts"
	"perms-system-server/internal/loaders"
	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/middleware"
	"perms-system-server/internal/model/userrole"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"

	"github.com/zeromicro/go-zero/core/logx"
	"github.com/zeromicro/go-zero/core/stores/sqlx"
)

type BindRolesLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewBindRolesLogic(ctx context.Context, svcCtx *svc.ServiceContext) *BindRolesLogic {
	return &BindRolesLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// BindRoles 绑定用户角色。对指定用户在当前产品下做角色全量覆盖（diff 后批量新增/删除），支持权限级别校验防止越权分配。
func (l *BindRolesLogic) BindRoles(req *types.BindRolesReq) error {
	caller := middleware.GetUserDetails(l.ctx)
	if caller == nil {
		return response.ErrUnauthorized("未登录")
	}

	// 审计 L-R13-1：在读 target 之前做一次"最低资格"闸——非超管且当前产品上下文里 MemberType
	// 为空的调用方（仅持有 JWT 但不是本产品成员）一定无法通过后续的 CheckManageAccess
	// （checkPermLevel 对 caller MaxInt32 优先级 > 任意 target），提前 403 可以避免通过 404
	// 枚举 userId 存在性。本闸不覆盖 MEMBER/DEVELOPER——他们仍需走 CheckManageAccess 判定
	// 部门链 + permsLevel 是否够高，与现有语义保持一致。
	if !caller.IsSuperAdmin && caller.MemberType == "" {
		return response.ErrForbidden("缺少产品成员上下文")
	}

	if caller.IsSuperAdmin && req.ProductCode == "" {
		return response.ErrBadRequest("必须指定产品编码")
	}

	targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId)
	if err != nil {
		return response.ErrNotFound("用户不存在")
	}

	productCode := middleware.GetProductCode(l.ctx)
	if caller.IsSuperAdmin {
		productCode = req.ProductCode
	}
	if err := authHelper.CheckManageAccess(l.ctx, l.svcCtx, req.UserId, productCode, authHelper.WithPrefetchedTarget(targetUser)); err != nil {
		return err
	}

	member, err := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, productCode, req.UserId)
	if err != nil {
		return response.ErrBadRequest("目标用户不是当前产品的成员")
	}
	if member.Status != consts.StatusEnabled {
		return response.ErrBadRequest("目标用户的成员资格已被禁用")
	}

	roleIds := req.RoleIds
	if len(roleIds) > 0 {
		seen := make(map[int64]bool, len(roleIds))
		uniqueIds := make([]int64, 0, len(roleIds))
		for _, id := range roleIds {
			if !seen[id] {
				seen[id] = true
				uniqueIds = append(uniqueIds, id)
			}
		}
		roleIds = uniqueIds
	}

	if len(roleIds) > 0 {
		roles, err := l.svcCtx.SysRoleModel.FindByIds(l.ctx, roleIds)
		if err != nil {
			return err
		}
		// 审计 L-R14-2：把"缺项 / 跨产品 / 已禁用"三条原本分别抛 "包含无效的角色ID" /
		// "不能绑定其他产品的角色" / "不能绑定已禁用的角色" 的路径折叠为同一个 400 文案，
		// 阻止仅凭已通过 CheckManageAccess 的调用方（例如某产品的下属 ADMIN）借文案差异
		// 枚举他产品的 roleId 分布 / 启停状态。细分原因保留到 audit 日志，供运营同学排障。
		invalid := false
		invalidReasons := make([]string, 0, len(roles))
		if int64(len(roles)) != int64(len(roleIds)) {
			invalid = true
			invalidReasons = append(invalidReasons, "missing_ids")
		}
		for _, r := range roles {
			if r.ProductCode != productCode {
				invalid = true
				invalidReasons = append(invalidReasons, "cross_product")
				continue
			}
			if r.Status != consts.StatusEnabled {
				invalid = true
				invalidReasons = append(invalidReasons, "disabled")
			}
		}
		if invalid {
			logx.WithContext(l.ctx).Infow("bind roles: invalid ids",
				logx.Field("audit", "bind_roles_invalid_ids"),
				logx.Field("userId", req.UserId),
				logx.Field("productCode", productCode),
				logx.Field("requested", roleIds),
				logx.Field("reasons", invalidReasons),
			)
			return response.ErrBadRequest("包含无效的角色ID")
		}
		// 审计 M-R10-3：caller 在一次请求内不变，loadFreshMinPermsLevel 的结果也不变；改由
		// LoadCallerAssignableLevel 打一次 DB 取 snapshot，循环内对每个角色走 CheckRoleLevelAgainst
		// 做常数时间比较，把"批量绑 N 个 role → N 次 DB" 降到 1 次，同时缩小 caller 降权期间
		// 的 TOCTOU 窗口（原实现每次循环都重新读，反而给"超管在 loop 中途降级 caller"N 个窗口）。
		assignable, err := authHelper.LoadCallerAssignableLevel(l.ctx, l.svcCtx, caller)
		if err != nil {
			return err
		}
		// level 校验保留独立 403——这条错误不依赖 roleId 是否属于本产品（不构成新的枚举
		// oracle），且对调用方而言是可操作的语义反馈（"你没资格分配这个等级的角色"），折进
		// 统一 400 文案反而会让前端误引导。
		for _, r := range roles {
			if err := authHelper.CheckRoleLevelAgainst(assignable, r.PermsLevel); err != nil {
				return err
			}
		}
	}

	newSet := make(map[int64]bool, len(roleIds))
	for _, id := range roleIds {
		newSet[id] = true
	}

	// 审计 M-R10-2：把"existing 读 + diff + delete/insert"整段收敛进事务，事务第一步以
	// FindOneForUpdateTx(member.Id) 锁住 sys_product_member 行，相当于把同一 (userId,
	// productCode) 下的并发 BindRoles 串行化；"A 完整覆盖 → B 基于 A 的最终态覆盖" 是唯一
	// 可能的交错，消除 RMW 第三态。member 行 lock 也保证了进入事务期间 member 不会被并发
	// RemoveMember 清零（那条路径本身也持该行 FOR UPDATE）。
	if err := l.svcCtx.SysUserRoleModel.TransactCtx(l.ctx, func(ctx context.Context, session sqlx.Session) error {
		if _, err := l.svcCtx.SysProductMemberModel.FindOneForUpdateTx(ctx, session, member.Id); err != nil {
			return err
		}

		// 审计 M-R12-1：对本次将要出现在 sys_user_role 里的 roleIds（事务外校验通过的入参集合）
		// 加 S 锁，闭合与 DeleteRole 的写偏斜。DeleteRole 末尾对 sys_role[R] 的 X 锁会被本 S 锁
		// 阻塞；等 BindRoles 提交后，DeleteRole 会在 FindUserIdsByRoleIdForUpdateTx 里看到新插入
		// 的绑定行，下游 BatchDel 能覆盖到这批用户缓存，不再留下孤儿 sys_user_role。
		// 注：只锁"本次请求携带的 roleIds"——已有但未出现在本次请求里的 existing 角色会被 diff
		// 到 toRemove，DELETE 自身就会对 sys_user_role 行取 X 锁，不依赖 sys_role 的 S 锁。
		if len(roleIds) > 0 {
			if err := l.svcCtx.SysRoleModel.LockRolesForShareTx(ctx, session, roleIds); err != nil {
				if errors.Is(err, sqlx.ErrNotFound) {
					// 审计 L-R14-2：并发 DeleteRole 刚把某个 roleId 删掉 / 禁用（事务外校验通过
					// 到拿 S 锁之间的窗口），此处与事务外的"缺项 / 跨产品 / 已禁用" 统一折叠
					// 为 "包含无效的角色ID"，避免"删除态"成为独立可识别的响应文案。
					logx.WithContext(l.ctx).Infow("bind roles: role vanished before share lock",
						logx.Field("audit", "bind_roles_invalid_ids"),
						logx.Field("userId", req.UserId),
						logx.Field("productCode", productCode),
						logx.Field("requested", roleIds),
						logx.Field("reason", "race_deleted_or_disabled"),
					)
					return response.ErrBadRequest("包含无效的角色ID")
				}
				return err
			}
		}

		existingRoleIds, err := l.svcCtx.SysUserRoleModel.FindRoleIdsByUserIdForProductTx(ctx, session, req.UserId, productCode)
		if err != nil {
			return err
		}
		existingSet := make(map[int64]bool, len(existingRoleIds))
		for _, id := range existingRoleIds {
			existingSet[id] = true
		}
		var toAdd []int64
		for _, id := range roleIds {
			if !existingSet[id] {
				toAdd = append(toAdd, id)
			}
		}
		var toRemove []int64
		for _, id := range existingRoleIds {
			if !newSet[id] {
				toRemove = append(toRemove, id)
			}
		}
		if len(toAdd) == 0 && len(toRemove) == 0 {
			return nil
		}

		if err := l.svcCtx.SysUserRoleModel.DeleteByUserIdAndRoleIdsTx(ctx, session, req.UserId, toRemove); err != nil {
			return err
		}
		if len(toAdd) > 0 {
			now := time.Now().Unix()
			data := make([]*userrole.SysUserRole, 0, len(toAdd))
			for _, roleId := range toAdd {
				data = append(data, &userrole.SysUserRole{
					UserId:     req.UserId,
					RoleId:     roleId,
					CreateTime: now,
					UpdateTime: now,
				})
			}
			return l.svcCtx.SysUserRoleModel.BatchInsertWithTx(ctx, session, data)
		}
		return nil
	}); err != nil {
		return err
	}

	// 审计 L-R13-5 方案 A：角色变更直接影响 loadRoles + loadPerms，UD 失效与请求 ctx 解耦
	// 避免 client 断连后 5 分钟 TTL 内目标用户继续走旧角色集。
	cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx)
	defer cancel()
	l.svcCtx.UserDetailsLoader.Clean(cleanCtx, req.UserId)
	return nil
}