OneAuth/api/settings/update.go

//
// Copyright (C) 2024 veypi <i@veypi.com>
// 2025-03-04 16:08:06
// Distributed under terms of the MIT license.
//

package settings

import (
	"github.com/veypi/vbase/auth"
	"github.com/veypi/vbase/models"
	"github.com/veypi/vigo"
)

// UpdateItem 更新项
type UpdateItem struct {
	Key   string `json:"key"`
	Value string `json:"value"`
}

// UpdateRequest 更新请求
type UpdateRequest struct {
	Settings []UpdateItem `json:"settings"`
}

// UpdateResponse 更新响应
type UpdateResponse struct {
	Updated int `json:"updated"`
}

// update 批量更新设置（仅管理员可用）
func update(x *vigo.X, req *UpdateRequest) (*UpdateResponse, error) {
	// 获取当前用户ID
	userID := ""
	if u := x.Get("user_id"); u != nil {
		userID = u.(string)
	}

	// 检查用户是否为管理员（检查 setting:update 权限）
	isAdmin, err := auth.VBaseAuth.CheckPermission(x.Context(), userID, "", "setting:update", "")
	if err != nil {
		return nil, vigo.ErrInternalServer.WithError(err)
	}
	if !isAdmin {
		return nil, vigo.ErrForbidden.WithString("only admin can update settings")
	}

	updated := 0
	for _, item := range req.Settings {
		if err := models.SetSetting(item.Key, item.Value, userID); err != nil {
			return nil, vigo.ErrInternalServer.WithString("failed to update " + item.Key)
		}
		updated++
	}

	return &UpdateResponse{
		Updated: updated,
	}, nil
}
refactor(auth): 重构认证系统，支持多种验证方式和 OAuth 提供商管理 - 新增验证模块(api/verification)，统一处理短信和邮件验证码发送 - 新增邮件发送功能(libs/email)，支持 SMTP 协议 - 重构短信模块(libs/sms)，简化阿里云和腾讯云短信接口 - 新增 OAuth 提供商管理 API(api/oauth/providers)，支持 CRUD 操作 - 新增系统设置管理 API(api/settings)，支持动态配置更新 - 重构认证方式管理(api/auth/methods)，支持启用/禁用多种登录方式 - 删除旧的 sms_providers 和 sms API 模块，迁移至新验证体系 - 新增数据库模型：verification、email、oauth_provider、oauth_templates、setting - 更新配置文档，增加新功能的使用说明 1 week ago			`//`
			`// Copyright (C) 2024 veypi <i@veypi.com>`
			`// 2025-03-04 16:08:06`
			`// Distributed under terms of the MIT license.`
			`//`

			`package settings`

			`import (`
fix(api/settings): add admin permission check for settings update Add permission check in settings update API to ensure only admin users can modify system settings. This fixes a security vulnerability where any authenticated user could modify critical configurations. - Check 'setting:update' permission before allowing updates - Return 403 Forbidden for non-admin users 1 week ago			`"github.com/veypi/vbase/auth"`
refactor(auth): 重构认证系统，支持多种验证方式和 OAuth 提供商管理 - 新增验证模块(api/verification)，统一处理短信和邮件验证码发送 - 新增邮件发送功能(libs/email)，支持 SMTP 协议 - 重构短信模块(libs/sms)，简化阿里云和腾讯云短信接口 - 新增 OAuth 提供商管理 API(api/oauth/providers)，支持 CRUD 操作 - 新增系统设置管理 API(api/settings)，支持动态配置更新 - 重构认证方式管理(api/auth/methods)，支持启用/禁用多种登录方式 - 删除旧的 sms_providers 和 sms API 模块，迁移至新验证体系 - 新增数据库模型：verification、email、oauth_provider、oauth_templates、setting - 更新配置文档，增加新功能的使用说明 1 week ago			`"github.com/veypi/vbase/models"`
			`"github.com/veypi/vigo"`
			`)`

			`// UpdateItem 更新项`
			`type UpdateItem struct {`
			Key string `json:"key"`
			Value string `json:"value"`
			`}`

			`// UpdateRequest 更新请求`
			`type UpdateRequest struct {`
			Settings []UpdateItem `json:"settings"`
			`}`

			`// UpdateResponse 更新响应`
			`type UpdateResponse struct {`
			Updated int `json:"updated"`
			`}`

fix(api/settings): add admin permission check for settings update Add permission check in settings update API to ensure only admin users can modify system settings. This fixes a security vulnerability where any authenticated user could modify critical configurations. - Check 'setting:update' permission before allowing updates - Return 403 Forbidden for non-admin users 1 week ago			`// update 批量更新设置（仅管理员可用）`
refactor(auth): 重构认证系统，支持多种验证方式和 OAuth 提供商管理 - 新增验证模块(api/verification)，统一处理短信和邮件验证码发送 - 新增邮件发送功能(libs/email)，支持 SMTP 协议 - 重构短信模块(libs/sms)，简化阿里云和腾讯云短信接口 - 新增 OAuth 提供商管理 API(api/oauth/providers)，支持 CRUD 操作 - 新增系统设置管理 API(api/settings)，支持动态配置更新 - 重构认证方式管理(api/auth/methods)，支持启用/禁用多种登录方式 - 删除旧的 sms_providers 和 sms API 模块，迁移至新验证体系 - 新增数据库模型：verification、email、oauth_provider、oauth_templates、setting - 更新配置文档，增加新功能的使用说明 1 week ago			`func update(x vigo.X, req UpdateRequest) (*UpdateResponse, error) {`
			`// 获取当前用户ID`
			`userID := ""`
			`if u := x.Get("user_id"); u != nil {`
			`userID = u.(string)`
			`}`

fix(api/settings): add admin permission check for settings update Add permission check in settings update API to ensure only admin users can modify system settings. This fixes a security vulnerability where any authenticated user could modify critical configurations. - Check 'setting:update' permission before allowing updates - Return 403 Forbidden for non-admin users 1 week ago			`// 检查用户是否为管理员（检查 setting:update 权限）`
			`isAdmin, err := auth.VBaseAuth.CheckPermission(x.Context(), userID, "", "setting:update", "")`
			`if err != nil {`
			`return nil, vigo.ErrInternalServer.WithError(err)`
			`}`
			`if !isAdmin {`
			`return nil, vigo.ErrForbidden.WithString("only admin can update settings")`
			`}`

refactor(auth): 重构认证系统，支持多种验证方式和 OAuth 提供商管理 - 新增验证模块(api/verification)，统一处理短信和邮件验证码发送 - 新增邮件发送功能(libs/email)，支持 SMTP 协议 - 重构短信模块(libs/sms)，简化阿里云和腾讯云短信接口 - 新增 OAuth 提供商管理 API(api/oauth/providers)，支持 CRUD 操作 - 新增系统设置管理 API(api/settings)，支持动态配置更新 - 重构认证方式管理(api/auth/methods)，支持启用/禁用多种登录方式 - 删除旧的 sms_providers 和 sms API 模块，迁移至新验证体系 - 新增数据库模型：verification、email、oauth_provider、oauth_templates、setting - 更新配置文档，增加新功能的使用说明 1 week ago			`updated := 0`
			`for _, item := range req.Settings {`
			`if err := models.SetSetting(item.Key, item.Value, userID); err != nil {`
			`return nil, vigo.ErrInternalServer.WithString("failed to update " + item.Key)`
			`}`
			`updated++`
			`}`

			`return &UpdateResponse{`
			`Updated: updated,`
			`}, nil`
			`}`