feat(tkuser): 부서 마스터 + 개인 추가 부여 권한 시스템 구현
부서 권한을 바닥(마스터)으로 설정하고 개인은 추가 부여만 가능하도록 변경. 부서 허용 항목은 개인 페이지에서 잠금(해제 불가) 표시되며, 부서 이동 시 기존 개인 권한이 자동 초기화됨. Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Hyungi Ahn
@@ -105,14 +105,39 @@ async function grantPermission({ user_id, page_name, can_access, granted_by_id,
|
||||
}
|
||||
|
||||
/**
|
||||
* 일괄 권한 부여
|
||||
* 일괄 권한 부여 (부서 허용 페이지는 스킵 + 기존 중복 레코드 정리)
|
||||
*/
|
||||
async function bulkGrant({ user_id, permissions, granted_by_id }) {
|
||||
const db = getPool();
|
||||
let count = 0;
|
||||
|
||||
// 부서 권한 조회
|
||||
const [userRows] = await db.query(
|
||||
'SELECT department_id FROM sso_users WHERE user_id = ?', [user_id]
|
||||
);
|
||||
const deptId = userRows.length > 0 ? userRows[0].department_id : null;
|
||||
|
||||
const deptGranted = {};
|
||||
if (deptId) {
|
||||
const [deptPerms] = await db.query(
|
||||
'SELECT page_name, can_access FROM department_page_permissions WHERE department_id = ?',
|
||||
[deptId]
|
||||
);
|
||||
deptPerms.forEach(p => { if (p.can_access) deptGranted[p.page_name] = true; });
|
||||
}
|
||||
|
||||
for (const perm of permissions) {
|
||||
if (!DEFAULT_PAGES[perm.page_name]) continue;
|
||||
|
||||
// 부서가 허용한 페이지는 개인 레코드 삭제 (스킵)
|
||||
if (deptGranted[perm.page_name]) {
|
||||
await db.query(
|
||||
'DELETE FROM user_page_permissions WHERE user_id = ? AND page_name = ?',
|
||||
[user_id, perm.page_name]
|
||||
);
|
||||
continue;
|
||||
}
|
||||
|
||||
await db.query(
|
||||
`INSERT INTO user_page_permissions (user_id, page_name, can_access, granted_by_id)
|
||||
VALUES (?, ?, ?, ?)
|
||||
@@ -126,12 +151,27 @@ async function bulkGrant({ user_id, permissions, granted_by_id }) {
|
||||
}
|
||||
|
||||
/**
|
||||
* 접근 권한 확인 (우선순위: 개인 > 부서 > 기본값)
|
||||
* 접근 권한 확인 (우선순위: 부서 OR 개인 OR 기본값)
|
||||
* 부서가 허용하면 무조건 허용 (개인이 해제 불가)
|
||||
*/
|
||||
async function checkAccess(userId, pageName) {
|
||||
const db = getPool();
|
||||
|
||||
// 1. 명시적 개인 권한
|
||||
// 1. 부서 권한 (마스터) — 부서가 허용하면 무조건 허용
|
||||
const [userRows] = await db.query(
|
||||
'SELECT department_id FROM sso_users WHERE user_id = ?', [userId]
|
||||
);
|
||||
if (userRows.length > 0 && userRows[0].department_id) {
|
||||
const [deptRows] = await db.query(
|
||||
'SELECT can_access FROM department_page_permissions WHERE department_id = ? AND page_name = ?',
|
||||
[userRows[0].department_id, pageName]
|
||||
);
|
||||
if (deptRows.length > 0 && deptRows[0].can_access) {
|
||||
return { can_access: true, reason: 'department_permission' };
|
||||
}
|
||||
}
|
||||
|
||||
// 2. 개인 권한 (추가 부여)
|
||||
const [rows] = await db.query(
|
||||
'SELECT can_access FROM user_page_permissions WHERE user_id = ? AND page_name = ?',
|
||||
[userId, pageName]
|
||||
@@ -140,26 +180,9 @@ async function checkAccess(userId, pageName) {
|
||||
return { can_access: rows[0].can_access, reason: 'explicit_permission' };
|
||||
}
|
||||
|
||||
// 2. 부서 권한
|
||||
const [userRows] = await db.query(
|
||||
'SELECT department_id FROM sso_users WHERE user_id = ?',
|
||||
[userId]
|
||||
);
|
||||
if (userRows.length > 0 && userRows[0].department_id) {
|
||||
const [deptRows] = await db.query(
|
||||
'SELECT can_access FROM department_page_permissions WHERE department_id = ? AND page_name = ?',
|
||||
[userRows[0].department_id, pageName]
|
||||
);
|
||||
if (deptRows.length > 0) {
|
||||
return { can_access: deptRows[0].can_access, reason: 'department_permission' };
|
||||
}
|
||||
}
|
||||
|
||||
// 3. 기본 권한
|
||||
const pageConfig = DEFAULT_PAGES[pageName];
|
||||
if (!pageConfig) {
|
||||
return { can_access: false, reason: 'invalid_page' };
|
||||
}
|
||||
if (!pageConfig) return { can_access: false, reason: 'invalid_page' };
|
||||
return { can_access: pageConfig.default_access, reason: 'default_permission' };
|
||||
}
|
||||
|
||||
@@ -252,21 +275,36 @@ async function getUserPermissionsWithSource(userId) {
|
||||
deptPerms.forEach(p => { deptPermMap[p.page_name] = !!p.can_access; });
|
||||
}
|
||||
|
||||
// 모든 페이지에 대해 결과 조합
|
||||
// 모든 페이지에 대해 결과 조합 (부서 OR 개인 OR 기본)
|
||||
const result = {};
|
||||
for (const [pageName, config] of Object.entries(DEFAULT_PAGES)) {
|
||||
if (pageName in userPermMap) {
|
||||
result[pageName] = { can_access: userPermMap[pageName], source: 'explicit' };
|
||||
} else if (pageName in deptPermMap) {
|
||||
result[pageName] = { can_access: deptPermMap[pageName], source: 'department' };
|
||||
const deptGranted = deptPermMap[pageName] === true;
|
||||
|
||||
if (deptGranted) {
|
||||
// 부서가 허용 → 무조건 허용, 잠금
|
||||
result[pageName] = { can_access: true, source: 'department', dept_granted: true };
|
||||
} else if (pageName in userPermMap) {
|
||||
result[pageName] = { can_access: userPermMap[pageName], source: 'explicit', dept_granted: false };
|
||||
} else {
|
||||
result[pageName] = { can_access: config.default_access, source: 'default' };
|
||||
result[pageName] = { can_access: config.default_access, source: 'default', dept_granted: false };
|
||||
}
|
||||
}
|
||||
|
||||
return { permissions: result, department_id: deptId };
|
||||
}
|
||||
|
||||
/**
|
||||
* 부서 이동 시 개인 권한 초기화 — user_page_permissions 전체 삭제
|
||||
*/
|
||||
async function clearUserPermissionsForDepartmentChange(userId) {
|
||||
const db = getPool();
|
||||
const [result] = await db.query(
|
||||
'DELETE FROM user_page_permissions WHERE user_id = ?',
|
||||
[userId]
|
||||
);
|
||||
return { deleted_count: result.affectedRows };
|
||||
}
|
||||
|
||||
/**
|
||||
* 권한 삭제 (기본값으로 되돌림)
|
||||
*/
|
||||
@@ -293,5 +331,6 @@ module.exports = {
|
||||
setDepartmentPermission,
|
||||
bulkSetDepartmentPermissions,
|
||||
deleteDepartmentPermission,
|
||||
getUserPermissionsWithSource
|
||||
getUserPermissionsWithSource,
|
||||
clearUserPermissionsForDepartmentChange
|
||||
};
|
||||
|
||||
Reference in New Issue
Block a user