feat: Implement role-based access control for admin users in AuthService and update user role handling across services

letnull19A · letnull19A · commit 296dcdda3aad · 2025-11-22T23:24:53.000+04:00
diff --git a/src/auth/auth.service.ts b/src/auth/auth.service.ts
@@ -3,6 +3,7 @@ import { JwtService } from '@nestjs/jwt';
 import { ConfigService } from '@nestjs/config';
 import * as bcrypt from 'bcrypt';
 import { UserService } from '../user/user.service';
+import { UserRepository } from '../user/user.repository';
 import { RegisterDto } from './dto/register.dto';
 import { LoginDto } from './dto/login.dto';
 import { RefreshTokenDto } from './dto/refresh-token.dto';
@@ -13,6 +14,7 @@ export class AuthService {
 
   constructor(
     private userService: UserService,
+    private userRepository: UserRepository,
     private jwtService: JwtService,
     private configService: ConfigService,
   ) {}
@@ -44,6 +46,11 @@ export class AuthService {
         throw new UnauthorizedException('Неверный email или пароль');
       }
 
+      // Проверяем, что пользователь имеет роль ADMIN
+      if (user.role !== 'ADMIN') {
+        throw new UnauthorizedException('Доступ разрешен только администраторам');
+      }
+
       const payload = { email: user.email, sub: user.id };
       const accessTokenExpiresIn = this.configService.get<string>('JWT_EXPIRES_IN') || '24h';
       const refreshTokenExpiresIn = this.configService.get<string>('JWT_REFRESH_EXPIRES_IN') || '7d';
@@ -72,12 +79,19 @@ export class AuthService {
     try {
       const refreshTokenSecret = this.configService.get<string>('JWT_REFRESH_SECRET') || this.configService.get<string>('JWT_SECRET') || 'your-secret-key';
       const payload = this.jwtService.verify(refreshTokenDto.refresh_token, { secret: refreshTokenSecret });
-      const user = await this.userService.findOne(payload.sub);
+      
+      // Используем репозиторий для получения оригинальной роли (без форматирования)
+      const user = await this.userRepository.findById(payload.sub);
       
       if (!user) {
         throw new UnauthorizedException('Пользователь не найден');
       }
 
+      // Проверяем, что пользователь имеет роль ADMIN
+      if (user.role !== 'ADMIN') {
+        throw new UnauthorizedException('Доступ разрешен только администраторам');
+      }
+
       const newPayload = { email: user.email, sub: user.id };
       const accessTokenExpiresIn = this.configService.get<string>('JWT_EXPIRES_IN') || '24h';
       const refreshTokenExpiresIn = this.configService.get<string>('JWT_REFRESH_EXPIRES_IN') || '7d';
diff --git a/src/user/dto/create-user.dto.ts b/src/user/dto/create-user.dto.ts
@@ -9,7 +9,7 @@ export const createUserSchema = z.object({
   email: z.string().email('Некорректный формат email').min(1, 'Email обязателен'),
   password: z.string().min(1, 'Пароль обязателен'),
   role: z.nativeEnum(UserRole, {
-    message: 'Роль должна быть одним из: USER, MODERATOR',
+    message: 'Роль должна быть одним из: USER, ADMIN',
   }).optional(),
   organisationId: z.number().int().positive('ID организации должен быть положительным числом').nullable().optional(),
 });
diff --git a/src/user/dto/update-user-v2.dto.ts b/src/user/dto/update-user-v2.dto.ts
@@ -9,7 +9,7 @@ export const updateUserV2Schema = z.object({
   email: z.string().email('Некорректный формат email').optional(),
   avatarUrl: z.string().url('Некорректный формат URL').optional(),
   role: z.nativeEnum(UserRole, {
-    message: 'Роль должна быть одним из: USER, MODERATOR',
+    message: 'Роль должна быть одним из: USER, ADMIN',
   }).optional(),
   organisationId: z.number().int().positive('ID организации должен быть положительным числом').nullable().optional(),
 });
diff --git a/src/user/dto/update-user.dto.ts b/src/user/dto/update-user.dto.ts
@@ -9,7 +9,7 @@ export const updateUserSchema = z.object({
   email: z.string().email('Некорректный формат email').optional(),
   avatarUrls: z.record(z.number(), z.string()).optional(),
   role: z.nativeEnum(UserRole, {
-    message: 'Роль должна быть одним из: USER, MODERATOR',
+    message: 'Роль должна быть одним из: USER, ADMIN',
   }).optional(),
   organisationId: z.number().int().positive('ID организации должен быть положительным числом').nullable().optional(),
 });
diff --git a/src/user/user.service.ts b/src/user/user.service.ts
@@ -21,8 +21,8 @@ export class UserService {
     if (role === 'USER') {
       return 'пользователь';
     }
-    if (role === 'MODERATOR') {
-      return 'модератор';
+    if (role === 'ADMIN') {
+      return 'администратор';
     }
     return role;
   }
diff --git a/src/user/user.types.ts b/src/user/user.types.ts
@@ -1,5 +1,5 @@
 export enum UserRole {
   USER = 'USER',
-  MODERATOR = 'MODERATOR',
+  ADMIN = 'ADMIN',
 }
 

Original file line number	Diff line number	Diff line change
`@@ -21,8 +21,8 @@ export class UserService {`
`21`	`21`	`if (role === 'USER') {`
`22`	`22`	`return 'пользователь';`
`23`	`23`	`}`
`24`		`- if (role === 'MODERATOR') {`
`25`		`- return 'модератор';`
	`24`	`+ if (role === 'ADMIN') {`
	`25`	`+ return 'администратор';`
`26`	`26`	`}`
`27`	`27`	`return role;`
`28`	`28`	`}`
Original file line number	Diff line number	Diff line change
`@@ -1,5 +1,5 @@`
`1`	`1`	`export enum UserRole {`
`2`	`2`	`USER = 'USER',`
`3`		`- MODERATOR = 'MODERATOR',`
	`3`	`+ ADMIN = 'ADMIN',`
`4`	`4`	`}`
`5`	`5`