futu_grpc/

auth.rs

//! gRPC 的 Bearer Token 鉴权
//!
//! 两种模式：
//! - **未配置 KeyStore**：完全不鉴权（保持旧行为，启动日志 warn）
//! - **配置了 KeyStore**：所有 RPC 必须带 `authorization: Bearer <plaintext>` metadata，
//!   且按 proto_id 区间 / RPC 类型校验 scope
//!
//! 由于 gRPC 采用通用 `Request(proto_id, body)` RPC 模式，scope 检查根据
//! **proto_id 区间** 进行；`SubscribePush` 流式 RPC 要求 `qot:read`
//! （推送混合了行情与交易，以行情 scope 为最低门槛）。
//!
//! | proto_id 范围 | 所需 scope |
//! |---|---|
//! | 1xxx 系统（InitConnect / GetGlobalState / KeepAlive / …） | 无（放行） |
//! | 3xxx 行情 | `qot:read` |
//! | 2001 / 2008 / 2101 / 2102 / 2111 / 2201 / 2211 / 2221 / 2222 / 2223 / 2225 / 2226 账户只读 | `acc:read` |
//! | 2005 UnlockTrade | `trade:real` |
//! | 2202 / 2205 / 2237 下单 / 改单 / 确认 | `trade:real` |
//! | 其他 | 拒绝（保守） |

use std::sync::Arc;

use chrono::Utc;
use futu_auth::{KeyRecord, KeyStore, Scope};
use tonic::{Request, Status};

/// 按 proto_id 推断所需 scope
///
/// 返回 `None` 代表该 proto_id 属于系统 / 免鉴权区间（仍会校验 key 本身有效）。
///
/// v1.0 起映射统一到 `futu_auth::scope_for_proto_id`，gRPC 和核心 WS 共用。
#[inline]
pub fn scope_for_proto(proto_id: u32) -> Option<Scope> {
    futu_auth::scope_for_proto_id(proto_id)
}

/// 提取 + 校验 Bearer token，返回命中的 KeyRecord；鉴权失败返回 Status
///
/// - store 未配置 → 返回 Ok(None)（legacy 全放行）
/// - 有 store 但 metadata 缺失 / token 无效 / 过期 → Err
#[allow(clippy::result_large_err)] // tonic::Status 固定大小，与 tonic 自身 RPC 签名一致
pub fn authenticate<T>(
    store: &Arc<KeyStore>,
    req: &Request<T>,
) -> Result<Option<Arc<KeyRecord>>, Status> {
    if !store.is_configured() {
        return Ok(None);
    }

    let token = req
        .metadata()
        .get("authorization")
        .and_then(|v| v.to_str().ok())
        .and_then(|v| v.strip_prefix("Bearer ").map(|s| s.trim().to_string()));

    let Some(token) = token else {
        futu_auth::audit::reject(
            "grpc",
            "auth",
            "<missing>",
            "missing authorization: Bearer metadata",
        );
        return Err(Status::unauthenticated(
            "missing authorization: Bearer <api-key> metadata",
        ));
    };

    let Some(rec) = store.verify(&token) else {
        futu_auth::audit::reject("grpc", "auth", "<invalid>", "invalid api key");
        return Err(Status::unauthenticated("invalid API key"));
    };

    if rec.is_expired(Utc::now()) {
        futu_auth::audit::reject("grpc", "auth", &rec.id, "key expired");
        return Err(Status::unauthenticated(format!(
            "API key {:?} expired",
            rec.id
        )));
    }

    Ok(Some(rec))
}

/// 检查 KeyRecord 是否持有 `needed` scope
#[allow(clippy::result_large_err)] // tonic::Status 固定大小，与 tonic 自身 RPC 签名一致
pub fn check_scope(
    rec: &Option<Arc<KeyRecord>>,
    proto_id: u32,
    needed: Scope,
) -> Result<(), Status> {
    let Some(rec) = rec else {
        // legacy 模式（store 未配置）
        return Ok(());
    };
    let endpoint = format!("proto_id={}", proto_id);
    if !rec.scopes.contains(&needed) {
        futu_auth::audit::reject(
            "grpc",
            &endpoint,
            &rec.id,
            &format!("missing scope {}", needed),
        );
        return Err(Status::permission_denied(format!(
            "API key {:?} missing scope {:?} for proto_id={}",
            rec.id,
            needed.as_str(),
            proto_id
        )));
    }
    futu_auth::audit::allow("grpc", &endpoint, &rec.id, Some(needed.as_str()));
    Ok(())
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn proto_range_mapping() {
        assert_eq!(scope_for_proto(1002), None); // GlobalState
        assert_eq!(scope_for_proto(3004), Some(Scope::QotRead)); // GetBasicQot
        assert_eq!(scope_for_proto(3223), Some(Scope::QotRead)); // MarketState
        assert_eq!(scope_for_proto(2001), Some(Scope::AccRead)); // AccList
        assert_eq!(scope_for_proto(2101), Some(Scope::AccRead)); // Funds
        assert_eq!(scope_for_proto(2201), Some(Scope::AccRead)); // GetOrderList
        assert_eq!(scope_for_proto(2005), Some(Scope::TradeReal)); // Unlock
        assert_eq!(scope_for_proto(2202), Some(Scope::TradeReal)); // PlaceOrder
        assert_eq!(scope_for_proto(2205), Some(Scope::TradeReal)); // ModifyOrder
    }
}