perms-system-server/internal/logic/member/addMemberLogic.go

package member

import (
	"context"
	"time"

	"perms-system-server/internal/consts"
	"perms-system-server/internal/loaders"
	authHelper "perms-system-server/internal/logic/auth"
	"perms-system-server/internal/middleware"
	"perms-system-server/internal/model/productmember"
	"perms-system-server/internal/response"
	"perms-system-server/internal/svc"
	"perms-system-server/internal/types"
	"perms-system-server/internal/util"

	"github.com/zeromicro/go-zero/core/logx"
)

type AddMemberLogic struct {
	logx.Logger
	ctx    context.Context
	svcCtx *svc.ServiceContext
}

func NewAddMemberLogic(ctx context.Context, svcCtx *svc.ServiceContext) *AddMemberLogic {
	return &AddMemberLogic{
		Logger: logx.WithContext(ctx),
		ctx:    ctx,
		svcCtx: svcCtx,
	}
}

// AddMember 添加产品成员。将已有用户加入指定产品并设置成员类型（ADMIN/DEVELOPER/MEMBER），需产品 ADMIN 或超管权限。产品必须已启用。
func (l *AddMemberLogic) AddMember(req *types.AddMemberReq) (resp *types.IdResp, err error) {
	caller := middleware.GetUserDetails(l.ctx)
	if caller == nil {
		return nil, response.ErrUnauthorized("未登录")
	}

	var productCode string
	if caller.IsSuperAdmin {
		if req.ProductCode == "" {
			return nil, response.ErrBadRequest("必须指定产品编码")
		}
		productCode = req.ProductCode
	} else {
		productCode = middleware.GetProductCode(l.ctx)
		if productCode == "" {
			return nil, response.ErrForbidden("缺少产品上下文")
		}
	}

	if err := authHelper.RequireProductAdminFor(l.ctx, productCode); err != nil {
		return nil, err
	}
	// 字面校验在 DB 读之前一并做掉——对非法 memberType 的请求直接 400，无需耗费 DB/缓存。
	if req.MemberType != consts.MemberTypeAdmin &&
		req.MemberType != consts.MemberTypeDeveloper &&
		req.MemberType != consts.MemberTypeMember {
		return nil, response.ErrBadRequest("无效的成员类型")
	}
	if err := authHelper.CheckMemberTypeAssignment(l.ctx, req.MemberType); err != nil {
		return nil, err
	}

	product, err := l.svcCtx.SysProductModel.FindOneByCode(l.ctx, productCode)
	if err != nil {
		return nil, response.ErrNotFound("产品不存在")
	}
	if product.Status != consts.StatusEnabled {
		return nil, response.ErrBadRequest("产品已被禁用，无法添加成员")
	}
	targetUser, err := l.svcCtx.SysUserModel.FindOne(l.ctx, req.UserId)
	if err != nil {
		return nil, response.ErrNotFound("用户不存在")
	}
	if targetUser.Status != consts.StatusEnabled {
		return nil, response.ErrBadRequest("用户已被冻结，无法添加为成员")
	}

	// 显式拒绝把超管拉入具体产品：loadMembership 虽然会把超管的 MemberType 固定为 SuperAdmin
	// 让实际权限不受影响，但 sys_product_member 里会留下一条"product_admin 纳管了 super_admin"
	// 的假成员关系，污染审计日志 / 权限推理工具（见审计 H-3）。
	if targetUser.IsSuperAdmin == consts.IsSuperAdminYes {
		return nil, response.ErrForbidden("无法将超级管理员加入具体产品")
	}

	// 补齐目标侧部门链授权：原先只做 RequireProductAdminFor（caller 侧），产品 ADMIN 就能把任意
	// 部门树外的用户（HR、财务、其他 BU）强行拉进自己的产品，叠加 H-2 PII 暴露后可以"随便拉人 →
	// 读全员 PII"。这里用 CheckAddMemberAccess 而不是 CheckManageAccess：
	//  1. target 还不是成员，checkPermLevel 对它必定落空报 403，会整体打穿 product-ADMIN 的添加流程；
	//  2. product-ADMIN 在 CheckManageAccess 中本身就会短路 checkDeptHierarchy，无法真正拦住跨
	//     部门拉人。CheckAddMemberAccess 专门为 AddMember 这类"target 尚未进入成员池"的前置流程
	//     设计，对 product ADMIN 也强制执行部门链校验（见审计 H-3）。
	if err := authHelper.CheckAddMemberAccess(l.ctx, l.svcCtx, targetUser); err != nil {
		return nil, err
	}

	_, findErr := l.svcCtx.SysProductMemberModel.FindOneByProductCodeUserId(l.ctx, productCode, req.UserId)
	if findErr == nil {
		return nil, response.ErrConflict("该用户已是该产品成员")
	}

	now := time.Now().Unix()
	result, err := l.svcCtx.SysProductMemberModel.Insert(l.ctx, &productmember.SysProductMember{
		ProductCode: productCode,
		UserId:      req.UserId,
		MemberType:  req.MemberType,
		Status:      consts.StatusEnabled,
		CreateTime:  now,
		UpdateTime:  now,
	})
	if err != nil {
		if util.IsDuplicateEntryErr(err) {
			return nil, response.ErrConflict("该用户已是该产品成员")
		}
		return nil, err
	}

	// 审计 L-R13-5 方案 A：新成员插入后旧的"非成员"负缓存语义必须立刻失效——用 detached ctx
	// 防止 HTTP 层取消把 UD 旧状态悬挂到 TTL 结束。
	cleanCtx, cancel := loaders.DetachCacheCleanCtx(l.ctx)
	defer cancel()
	l.svcCtx.UserDetailsLoader.Del(cleanCtx, req.UserId, productCode)

	id, _ := result.LastInsertId()
	return &types.IdResp{Id: id}, nil
}