feat: новая функция

2025-10-13 22:41:49 +03:00
parent 34666b44d8
commit 0e028bc722
83 changed files with 1595 additions and 6093 deletions
--- a/backend/middleware/auth.js
+++ b/backend/middleware/auth.js
@@ -15,7 +15,8 @@
 const { createError } = require('../utils/error');
 const authService = require('../services/auth-service');
 const logger = require('../utils/logger');
-// Используем новые роли: 'editor' и 'readonly' вместо 'admin'
+// НОВАЯ СИСТЕМА РОЛЕЙ: используем shared/permissions.js
+const { hasPermission, ROLES, PERMISSIONS } = require('/app/shared/permissions');
 const db = require('../db');
 const { checkAdminTokens } = require('../services/auth-service');

@@ -45,7 +46,7 @@ async function requireAdmin(req, res, next) {
    logger.info(`[requireAdmin] Session:`, {
      exists: !!req.session,
      authenticated: req.session?.authenticated,
-      isAdmin: req.session?.isAdmin,
+      userAccessLevel: req.session?.userAccessLevel,
      userId: req.session?.userId,
      address: req.session?.address
    });
@@ -57,18 +58,18 @@ async function requireAdmin(req, res, next) {
    }

    // Проверка через сессию
-    if (req.session.isAdmin) {
-      // logger.info(`[requireAdmin] Доступ разрешен через сессию isAdmin`); // Убрано
+    if (req.session.userAccessLevel?.hasAccess) {
+      // logger.info(`[requireAdmin] Доступ разрешен через сессию userAccessLevel`); // Убрано
      return next();
    }

    // Проверка через кошелек
    if (req.session.address) {
      // logger.info(`[requireAdmin] Проверка через кошелек: ${req.session.address}`); // Убрано
-      const isAdmin = await authService.checkAdminTokens(req.session.address);
-      if (isAdmin) {
+      const userAccessLevel = await authService.getUserAccessLevel(req.session.address);
+      if (userAccessLevel.hasAccess) {
        // Обновляем сессию
-        req.session.isAdmin = true;
+        req.session.userAccessLevel = userAccessLevel;
        // logger.info(`[requireAdmin] Доступ разрешен через кошелек`); // Убрано
        return next();
      }
@@ -82,7 +83,7 @@ async function requireAdmin(req, res, next) {
      ]);
      if (userResult.rows.length > 0 && (userResult.rows[0].role === 'editor' || userResult.rows[0].role === 'readonly')) {
        // Обновляем сессию
-        req.session.isAdmin = true;
+        req.session.userAccessLevel = { level: 'editor', tokenCount: 0, hasAccess: true };
        // logger.info(`[requireAdmin] Доступ разрешен через userId`); // Убрано
        return next();
      }
@@ -110,7 +111,7 @@ function requireRole(role) {
      }

      // Для администраторов разрешаем все
-      if (req.session.isAdmin) {
+      if (req.session.userAccessLevel?.hasAccess) {
        return next();
      }

@@ -145,11 +146,11 @@ async function checkRole(req, res, next) {

    // Если есть адрес кошелька - проверяем токены
    if (req.session.address) {
-      req.session.isAdmin = await checkAdminTokens(req.session.address);
+      req.session.userAccessLevel = await authService.getUserAccessLevel(req.session.address);
      await req.session.save();
    }

-    if (!req.session.isAdmin) {
+    if (!req.session.userAccessLevel?.hasAccess) {
      return res.status(403).json({ error: 'Access denied' });
    }

@@ -166,9 +167,29 @@ async function checkRole(req, res, next) {
 const isAuthenticated = requireAuth;

 /**
- * Проверка прав администратора - алиас для requireAdmin
+ * НОВАЯ СИСТЕМА: проверка прав через permissions
 */
-const isAdmin = requireAdmin;
+const isAdmin = (req, res, next) => {
+  // Определяем роль пользователя через новую систему
+  let userRole = ROLES.GUEST;
+  
+  if (req.user?.userAccessLevel) {
+    if (req.user.userAccessLevel.level === 'readonly') {
+      userRole = ROLES.READONLY;
+    } else if (req.user.userAccessLevel.level === 'editor') {
+      userRole = ROLES.EDITOR;
+    }
+  } else if (req.user?.id) {
+    userRole = ROLES.USER;
+  }
+  
+  // Проверяем права через новую систему
+  if (!hasPermission(userRole, PERMISSIONS.VIEW_CRM)) {
+    return res.status(403).json({ error: 'Insufficient permissions' });
+  }
+  
+  next();
+};

 module.exports = {
  requireAuth,
--- a/backend/middleware/permissions.js
+++ b/backend/middleware/permissions.js
@@ -0,0 +1,128 @@
+/**
+ * Copyright (c) 2024-2025 Тарабанов Александр Викторович
+ * All rights reserved.
+ * 
+ * This software is proprietary and confidential.
+ * Unauthorized copying, modification, or distribution is prohibited.
+ * 
+ * For licensing inquiries: info@hb3-accelerator.com
+ * Website: https://hb3-accelerator.com
+ * GitHub: https://github.com/HB3-ACCELERATOR
+ */
+
+const { PERMISSIONS_MAP, hasPermission, hasAnyPermission } = require('../shared/permissions');
+const logger = require('../utils/logger');
+
+/**
+ * Получить роль пользователя из сессии
+ * @param {Object} req - Express request
+ * @returns {Promise<string>} - Роль: 'guest', 'user', 'readonly', 'editor'
+ */
+async function getUserRole(req) {
+  const userId = req.session?.userId;
+  const address = req.session?.address;
+  
+  // Неавторизованный пользователь
+  if (!userId) {
+    return 'guest';
+  }
+  
+  // Авторизован, но нет кошелька или адреса
+  if (!address) {
+    return 'user';
+  }
+  
+  // Используем существующую логику из auth-service для получения роли
+  try {
+    const authService = require('../services/auth-service');
+    const accessLevel = await authService.getUserAccessLevel(address);
+    
+    // accessLevel.level может быть: 'user', 'readonly', 'editor'
+    return accessLevel?.level || 'user';
+  } catch (error) {
+    logger.error('[Permissions] Error getting user role:', error);
+    return 'user'; // Безопасное значение по умолчанию
+  }
+}
+
+/**
+ * Middleware: Требует конкретное право доступа
+ * @param {string} permission - Требуемое право
+ * @returns {Function} Express middleware
+ */
+function requirePermission(permission) {
+  return async (req, res, next) => {
+    try {
+      const role = await getUserRole(req);
+      
+      if (!hasPermission(role, permission)) {
+        logger.warn(`[Permissions] Access denied: ${role} tried to access ${permission}`);
+        return res.status(403).json({ 
+          error: 'Доступ запрещен',
+          required: permission,
+          yourRole: role
+        });
+      }
+      
+      // Сохраняем роль в req для использования в route handlers
+      req.userRole = role;
+      next();
+    } catch (error) {
+      logger.error('[Permissions] Error checking permission:', error);
+      res.status(500).json({ error: 'Ошибка проверки прав доступа' });
+    }
+  };
+}
+
+/**
+ * Middleware: Требует хотя бы одно из прав
+ * @param {Array<string>} permissions - Список прав (достаточно одного)
+ * @returns {Function} Express middleware
+ */
+function requireAnyPermission(permissions) {
+  return async (req, res, next) => {
+    try {
+      const role = await getUserRole(req);
+      
+      if (!hasAnyPermission(role, permissions)) {
+        logger.warn(`[Permissions] Access denied: ${role} tried to access any of [${permissions.join(', ')}]`);
+        return res.status(403).json({ 
+          error: 'Доступ запрещен',
+          required: permissions,
+          yourRole: role
+        });
+      }
+      
+      req.userRole = role;
+      next();
+    } catch (error) {
+      logger.error('[Permissions] Error checking permissions:', error);
+      res.status(500).json({ error: 'Ошибка проверки прав доступа' });
+    }
+  };
+}
+
+/**
+ * Middleware: Проверяет право в route handler (не блокирует запрос)
+ * Добавляет req.hasPermission() для использования в контроллере
+ */
+function attachPermissionChecker(req, res, next) {
+  getUserRole(req).then(role => {
+    req.userRole = role;
+    req.hasPermission = (permission) => hasPermission(role, permission);
+    next();
+  }).catch(error => {
+    logger.error('[Permissions] Error attaching permission checker:', error);
+    req.userRole = 'guest';
+    req.hasPermission = () => false;
+    next();
+  });
+}
+
+module.exports = {
+  getUserRole,
+  requirePermission,
+  requireAnyPermission,
+  attachPermissionChecker
+};
+