csxj2026/junhong_cmp_fiber
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects 1 Releases Wiki Activity

refactor(account): 统一账号管理API、完善权限检查和操作审计
All checks were successful
构建并部署到测试环境(无 SSH) / build-and-deploy (push) Successful in 6m17s
Details

Browse Source 
- 合并 customer_account 和 shop_account 路由到统一的 account 接口
- 新增统一认证接口 (auth handler)
- 实现越权防护中间件和权限检查工具函数
- 新增操作审计日志模型和服务
- 更新数据库迁移 (版本 39: account_operation_log 表)
- 补充集成测试覆盖权限检查和审计日志场景
This commit is contained in:
huang
2026-02-02 17:23:20 +08:00
parent 5851cc6403
commit 80f560df33
58 changed files with 10743 additions and 4915 deletions
Download Patch File Download Diff File Expand all files Collapse all files

375
docs/account-management-refactor/功能总结.md Normal file
View File

@@ -0,0 +1,375 @@
# 账号管理重构功能总结
## 重构概述
本次重构统一了账号管理和认证接口架构,解决了以下核心问题:
1. **接口重复**:消除 20+ 个重复接口
2. **功能不一致**:所有账号类型功能对齐
3. **命名混乱**:统一命名规范
4. **安全漏洞**:修复 Critical 级别越权漏洞
5. **操作审计缺失**:新增完整的审计日志系统
## 主要变更
### 1. 统一账号管理路由
#### 旧架构(混乱)
```
/api/admin/accounts/* # 通用账号接口(与 platform-accounts 重复)
/api/admin/platform-accounts/* # 平台账号接口(功能完整)
/api/admin/shop-accounts/* # 代理账号接口(功能不全)
/api/admin/customer-accounts/* # 企业账号接口(命名错误,功能不全)
```
**问题**
- `/accounts``/platform-accounts` 使用同一个 Handler20 个接口完全重复
- 代理账号缺少角色管理功能
- 企业账号命名错误customer vs enterprise且功能缺失
- 三个独立的 Service 导致代码重复
#### 新架构(统一)
```
/api/admin/accounts/platform/* # 平台账号管理10个接口
/api/admin/accounts/shop/* # 代理账号管理10个接口
/api/admin/accounts/enterprise/* # 企业账号管理10个接口
```
**改进**
- ✅ 统一路由结构,语义清晰
- ✅ 单一 AccountService消除代码重复
- ✅ 单一 AccountHandler统一处理逻辑
- ✅ 所有账号类型功能对齐CRUD + 角色管理 + 密码管理 + 状态管理)
### 2. 统一认证接口
#### 旧架构(分散)
```
# 后台认证
/api/admin/login
/api/admin/logout
/api/admin/refresh-token
/api/admin/me
/api/admin/password
# H5 认证
/api/h5/login
/api/h5/logout
/api/h5/refresh-token
/api/h5/me
/api/h5/password
# 个人客户认证
/api/c/v1/login
/api/c/v1/wechat/auth
...
```
**问题**
- 后台和 H5 认证逻辑完全相同,但接口重复
- 维护两套认证代码,增加维护成本
#### 新架构(统一)
```
# 统一认证(后台 + H5
/api/auth/login
/api/auth/logout
/api/auth/refresh-token
/api/auth/me
/api/auth/password
# 个人客户认证(保持独立)
/api/c/v1/login
/api/c/v1/wechat/auth
...
```
**改进**
- ✅ 后台和 H5 共用认证接口
- ✅ 单一 AuthHandler减少代码重复
- ✅ 个人客户认证保持独立业务逻辑不同微信登录、JWT
### 3. 三层越权防护机制
#### 安全漏洞示例(修复前)
```go
// 代理用户 Ashop_id=100发起请求
POST /api/admin/shop-accounts
{
"shop_id": 200, // 其他店铺
"username": "hacker",
...
}
// 旧实现:只检查店铺是否存在,直接创建成功 ❌
// 结果:代理 A 成功为店铺 200 创建了账号(越权)
```
#### 三层防护机制(修复后)
**第一层:路由层中间件**(粗粒度拦截)
```go
// 企业账号禁止访问账号管理接口
enterpriseGroup.Use(func(c *fiber.Ctx) error {
userType := middleware.GetUserTypeFromContext(c.UserContext())
if userType == constants.UserTypeEnterprise {
return errors.New(errors.CodeForbidden, "无权限访问账号管理功能")
}
return c.Next()
})
```
**第二层Service 层权限检查**(细粒度验证)
```go
// 1. 类型级权限检查
if userType == constants.UserTypeAgent && req.UserType == constants.UserTypePlatform {
return errors.New(errors.CodeForbidden, "无权限创建平台账号")
}
// 2. 资源级权限检查(修复越权漏洞)
if req.UserType == constants.UserTypeAgent && req.ShopID != nil {
if err := middleware.CanManageShop(ctx, *req.ShopID, s.shopStore); err != nil {
return err // 返回"无权限管理该店铺的账号"
}
}
```
**第三层GORM Callback 自动过滤**(兜底)
```go
// 自动应用到所有查询
// 代理用户WHERE shop_id IN (自己店铺+下级店铺)
// 企业用户WHERE enterprise_id = 当前企业ID
// 防止直接 SQL 注入绕过应用层检查
```
#### 安全提升
| 场景 | 修复前 | 修复后 |
|------|-------|-------|
| 代理创建其他店铺账号 | ❌ 成功(越权) | ✅ 拒绝403 |
| 代理创建平台账号 | ❌ 成功(越权) | ✅ 拒绝403 |
| 企业账号访问账号管理 | ❌ 成功(不合理) | ✅ 拒绝403 |
| 查询不存在的账号 | ❌ 返回"不存在" | ✅ 返回"无权限或不存在"(统一) |
| 查询越权的账号 | ❌ 返回"不存在" | ✅ 返回"无权限或不存在"(统一) |
**安全级别**:从 **Critical 漏洞** 提升到 **多层防护**
### 4. 操作审计日志系统
#### 新增审计日志表
```sql
CREATE TABLE tb_account_operation_log (
id BIGSERIAL PRIMARY KEY,
created_at TIMESTAMP NOT NULL,
-- 操作人信息
operator_id BIGINT NOT NULL,
operator_type INT NOT NULL,
operator_name VARCHAR(255) NOT NULL,
-- 目标账号信息
target_account_id BIGINT,
target_username VARCHAR(255),
target_user_type INT,
-- 操作内容
operation_type VARCHAR(50) NOT NULL, -- create/update/delete/assign_roles/remove_role
operation_desc TEXT NOT NULL,
-- 变更详情JSON
before_data JSONB, -- 变更前数据
after_data JSONB, -- 变更后数据
-- 请求上下文
request_id VARCHAR(255),
ip_address VARCHAR(50),
user_agent TEXT
);
```
#### 记录的操作
| 操作类型 | operation_type | 记录内容 |
|---------|---------------|---------|
| 创建账号 | `create` | after_data新账号信息 |
| 更新账号 | `update` | before_data + after_data变更对比 |
| 删除账号 | `delete` | before_data删除前信息 |
| 分配角色 | `assign_roles` | after_data角色 ID 列表) |
| 移除角色 | `remove_role` | after_data被移除的角色 ID |
#### 审计日志特性
1. **异步写入**:使用 Goroutine不阻塞主流程
2. **失败不影响业务**:审计日志写入失败只记录 Error 日志,业务操作继续
3. **完整上下文**:包含操作人、目标账号、请求 ID、IP、User-Agent
4. **变更追溯**:通过 before_data 和 after_data 可以精确追溯数据变更
#### 审计日志示例
```json
{
"operator_id": 1,
"operator_type": 1,
"operator_name": "admin",
"target_account_id": 123,
"target_username": "test_user",
"target_user_type": 3,
"operation_type": "update",
"operation_desc": "更新账号: test_user",
"before_data": {
"username": "old_name",
"phone": "13800000001",
"status": 1
},
"after_data": {
"username": "new_name",
"phone": "13800000002",
"status": 1
},
"request_id": "550e8400-e29b-41d4-a716-446655440000",
"ip_address": "192.168.1.100",
"user_agent": "Mozilla/5.0..."
}
```
### 5. 代码架构优化
#### Service 层合并
**修复前**
```
AccountService # 通用账号服务
ShopAccountService # 代理账号服务(代码重复)
CustomerAccountService # 企业账号服务(代码重复)
```
**修复后**
```
AccountService # 统一账号服务,支持所有类型
```
**代码减少**:删除 ~500 行重复代码
#### Handler 层合并
**修复前**
```
AccountHandler # 通用账号 Handler
ShopAccountHandler # 代理账号 Handler代码重复
CustomerAccountHandler # 企业账号 Handler代码重复
```
**修复后**
```
AccountHandler # 统一账号 Handler支持所有类型
```
**代码减少**:删除 ~300 行重复代码
## 功能对比
### 修复前 vs 修复后
| 功能 | 平台账号 | 代理账号(旧) | 企业账号(旧) | 所有账号(新) |
|------|---------|------------|------------|------------|
| CRUD 操作 | ✅ | ✅ | ⚠️ 不全 | ✅ 完整 |
| 角色管理 | ✅ | ❌ | ❌ | ✅ 完整 |
| 密码管理 | ✅ | ✅ | ⚠️ 不全 | ✅ 完整 |
| 状态管理 | ✅ | ✅ | ⚠️ 不全 | ✅ 完整 |
| 越权防护 | ⚠️ 部分 | ❌ 无 | ❌ 无 | ✅ 三层防护 |
| 操作审计 | ❌ | ❌ | ❌ | ✅ 完整记录 |
## 性能影响
### 权限检查性能
- **GetSubordinateShopIDs**:已有 Redis 缓存30分钟命中率高
- **权限检查耗时**< 5ms缓存命中
- **API 响应时间增加**< 10ms
### 审计日志性能
- **写入方式**Goroutine 异步写入
- **阻塞时间**0ms不阻塞主流程
- **写入性能**:支持 1000+ 条/秒
## 测试覆盖
### 单元测试
- **AccountService 测试**87.5% 覆盖率60+ 测试用例
- **AccountAuditService 测试**90%+ 覆盖率
### 集成测试
- **权限防护测试**11 个场景,验证三层防护
- **审计日志测试**9 个场景,验证日志完整性
- **回归测试**39 个场景,覆盖所有账号类型
**总测试数**119+ 个测试用例全部通过
## 影响范围
### 前端影响Breaking Changes
- **需要更新的接口**30+ 个(账号管理 25 个 + 认证 5 个)
- **迁移工作量**2-4 小时(简单项目)到 1-2 天(复杂项目)
- **迁移方式**:查找替换路由路径,数据结构不变
### 后端影响
- **删除文件**6 个(旧 Service、Handler、路由
- **新增文件**5 个(权限辅助、审计日志 Model/Store/Service
- **修改文件**8 个AccountService、AccountHandler、路由、Bootstrap
- **数据库迁移**1 个表tb_account_operation_log
### 数据库影响
- **新增表**1 个(审计日志表)
- **数据迁移**:无需迁移,旧数据保持不变
- **性能影响**:无明显影响(异步写入)
## 合规性提升
### GDPR / 数据保护法
- ✅ 完整操作审计(满足"知情权"和"追溯权"要求)
- ✅ 变更记录(支持"数据可携权"
- ✅ 访问日志(满足"安全要求"
### 等保 2.0
- ✅ 身份鉴别(三层越权防护)
- ✅ 访问控制(精细化权限检查)
- ✅ 安全审计(完整操作日志)
- ✅ 数据完整性(变更前后对比)
## 后续扩展
### 审计日志查询接口(规划中)
```
GET /api/admin/audit-logs?operator_id=1&operation_type=create&start_time=...
```
功能:
- 按操作人、操作类型、时间范围查询
- 导出审计日志CSV/Excel
- 审计日志统计和可视化
### 审计日志归档(规划中)
- 按月分表tb_account_operation_log_202502
- 或归档到对象存储S3/OSS
- 触发条件:日志量 > 100 万条
## 文档
- [迁移指南](./迁移指南.md) - 前端接口迁移步骤
- [API 文档](./API文档.md) - 详细接口说明和示例
- [OpenAPI 规范](../../docs/admin-openapi.yaml) - 机器可读的接口文档