实现角色权限体系重构

本次提交完成了角色权限体系的重构，主要包括： 1. 数据库迁移 - 添加 tb_permission.platform 字段（all/web/h5） - 更新 tb_role.role_type 注释（1=平台角色，2=客户角色） 2. GORM 模型更新 - Permission 模型添加 Platform 字段 - Role 模型更新 RoleType 注释 3. 常量定义 - 新增角色类型常量（RoleTypePlatform, RoleTypeCustomer） - 新增权限端口常量（PlatformAll, PlatformWeb, PlatformH5） - 添加角色类型与用户类型匹配规则函数 4. Store 层实现 - Permission Store 支持按 platform 过滤 - Account Role Store 添加 CountByAccountID 方法 5. Service 层实现 - 角色分配支持类型匹配校验 - 角色分配支持数量限制（超级管理员0个，平台用户无限制，代理/企业1个） - Permission Service 支持 platform 过滤 6. 权限校验中间件 - 实现 RequirePermission、RequireAnyPermission、RequireAllPermissions - 支持 platform 字段过滤 - 支持跳过超级管理员检查 7. 测试用例 - 角色类型匹配规则单元测试 - 角色分配数量限制单元测试 - 权限 platform 过滤单元测试 - 权限校验中间件集成测试（占位） 8. 代码清理 - 删除过时的 subordinate 测试文件 - 移除 Account.ParentID 相关引用 - 更新 DTO 验证规则 Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>
2026-01-10 09:51:52 +08:00
parent a36e4a79c0
commit 1b9080e3ab
31 changed files with 1767 additions and 607 deletions
--- a/internal/service/account/service.go
+++ b/internal/service/account/service.go
@@ -218,7 +218,7 @@ func (s *Service) AssignRoles(ctx context.Context, accountID uint, roleIDs []uin
 	}

 	// 检查账号存在
-	_, err := s.accountStore.GetByID(ctx, accountID)
+	account, err := s.accountStore.GetByID(ctx, accountID)
 	if err != nil {
 		if err == gorm.ErrRecordNotFound {
 			return nil, errors.New(errors.CodeAccountNotFound, "账号不存在")
@@ -226,15 +226,46 @@ func (s *Service) AssignRoles(ctx context.Context, accountID uint, roleIDs []uin
 		return nil, fmt.Errorf("获取账号失败: %w", err)
 	}

-	// 验证所有角色存在
+	// 检查用户类型是否允许分配角色
+	maxRoles := constants.GetMaxRolesForUserType(account.UserType)
+	if maxRoles == 0 {
+		return nil, errors.New(errors.CodeInvalidParam, "该用户类型不需要分配角色")
+	}
+
+	// 检查角色数量限制
+	existingCount, err := s.accountRoleStore.CountByAccountID(ctx, accountID)
+	if err != nil {
+		return nil, fmt.Errorf("统计现有角色数量失败: %w", err)
+	}
+
+	// 计算将要分配的新角色数量（排除已存在的）
+	newRoleCount := 0
 	for _, roleID := range roleIDs {
-		_, err := s.roleStore.GetByID(ctx, roleID)
+		exists, _ := s.accountRoleStore.Exists(ctx, accountID, roleID)
+		if !exists {
+			newRoleCount++
+		}
+	}
+
+	// 检查角色数量限制（-1 表示无限制）
+	if maxRoles != -1 && int(existingCount)+newRoleCount > maxRoles {
+		return nil, errors.New(errors.CodeInvalidParam, fmt.Sprintf("该用户类型最多只能分配 %d 个角色", maxRoles))
+	}
+
+	// 验证所有角色存在并检查角色类型是否匹配
+	for _, roleID := range roleIDs {
+		role, err := s.roleStore.GetByID(ctx, roleID)
 		if err != nil {
 			if err == gorm.ErrRecordNotFound {
 				return nil, errors.New(errors.CodeRoleNotFound, fmt.Sprintf("角色 %d 不存在", roleID))
 			}
 			return nil, fmt.Errorf("获取角色失败: %w", err)
 		}
+
+		// 检查角色类型与用户类型是否匹配
+		if !constants.IsRoleTypeMatchUserType(role.RoleType, account.UserType) {
+			return nil, errors.New(errors.CodeInvalidParam, "角色类型与账号类型不匹配")
+		}
 	}

 	// 创建关联