Add validation to prevent system users from being assigned to non-admin roles

Co-authored-by: gopkg-dev <58848833+gopkg-dev@users.noreply.github.com>

Author: Copilot

continew-system/src/main/java/top/continew/admin/system/service/UserRoleService.java

@@ -103,4 +103,18 @@ public interface UserRoleService {
      * @return 是否已关联（true：已关联；false：未关联）
      */
     boolean isRoleIdExists(List<Long> roleIds);
+
+    /**
+     * 检查系统内置用户是否在用户列表中
+     *
+     * @param userIds 用户 ID 列表
+     */
+    void checkSystemUserAssignment(List<Long> userIds);
+
+    /**
+     * 检查系统内置用户是否在用户角色关联列表中
+     *
+     * @param userRoleIds 用户角色关联 ID 列表
+     */
+    void checkSystemUserUnassignment(List<Long> userRoleIds);
 }

continew-system/src/main/java/top/continew/admin/system/service/impl/RoleServiceImpl.java

@@ -164,6 +164,10 @@ public void updatePermission(Long id, RolePermissionUpdateReq req) {
     public void assignToUsers(Long id, List<Long> userIds) {
         RoleDO role = super.getById(id);
         CheckUtils.throwIf(Boolean.TRUE.equals(role.getIsSystem()), "[{}] 是系统内置角色，不允许分配角色给其他用户", role.getName());
+        // 防止将系统内置用户分配给非超级管理员角色
+        if (!SystemConstants.SUPER_ADMIN_ROLE_ID.equals(id)) {
+            userRoleService.checkSystemUserAssignment(userIds);
+        }
         // 保存用户和角色关联
         userRoleService.assignRoleToUsers(id, userIds);
         // 更新用户上下文

continew-system/src/main/java/top/continew/admin/system/service/impl/UserRoleServiceImpl.java

@@ -120,6 +120,8 @@ public boolean assignRoleToUsers(Long roleId, List<Long> userIds) {
 
     @Override
     public void deleteByIds(List<Long> ids) {
+        // 检查是否包含系统内置用户的角色关联
+        this.checkSystemUserUnassignment(ids);
         baseMapper.deleteByIds(ids);
     }
 
@@ -165,4 +167,47 @@ public boolean isRoleIdExists(List<Long> roleIds) {
         }
         return baseMapper.lambdaQuery().in(UserRoleDO::getRoleId, roleIds).exists();
     }
+
+    @Override
+    public void checkSystemUserAssignment(List<Long> userIds) {
+        if (CollUtil.isEmpty(userIds)) {
+            return;
+        }
+        // 查询用户列表中是否包含系统内置用户
+        List<UserDO> systemUsers = userService.lambdaQuery()
+            .select(UserDO::getId, UserDO::getNickname)
+            .in(UserDO::getId, userIds)
+            .eq(UserDO::getIsSystem, true)
+            .list();
+        CheckUtils.throwIfNotEmpty(systemUsers, "[{}] 是系统内置用户，不允许分配给非超级管理员角色", 
+            systemUsers.isEmpty() ? "" : systemUsers.get(0).getNickname());
+    }
+
+    @Override
+    public void checkSystemUserUnassignment(List<Long> userRoleIds) {
+        if (CollUtil.isEmpty(userRoleIds)) {
+            return;
+        }
+        // 查询用户角色关联列表
+        List<UserRoleDO> userRoleList = baseMapper.lambdaQuery()
+            .select(UserRoleDO::getUserId)
+            .in(UserRoleDO::getId, userRoleIds)
+            .list();
+        if (CollUtil.isEmpty(userRoleList)) {
+            return;
+        }
+        // 获取用户ID列表
+        List<Long> userIds = userRoleList.stream()
+            .map(UserRoleDO::getUserId)
+            .distinct()
+            .toList();
+        // 查询是否包含系统内置用户
+        List<UserDO> systemUsers = userService.lambdaQuery()
+            .select(UserDO::getId, UserDO::getNickname)
+            .in(UserDO::getId, userIds)
+            .eq(UserDO::getIsSystem, true)
+            .list();
+        CheckUtils.throwIfNotEmpty(systemUsers, "[{}] 是系统内置用户，不允许取消分配角色", 
+            systemUsers.isEmpty() ? "" : systemUsers.get(0).getNickname());
+    }
 }