Добавлена гибкая система авторизации на основе ролей

- Добавлен базовый middleware userIdentity для валидации токенов
- Реализован middleware requireRole для проверки конкретных ролей
- Добавлены вспомогательные методы requireAdmin, requireTeacher, requireStudent
- Обновлена структура роутов с разделением прав доступа
- Добавлены примеры handler'ов: getAllUsers, getUserByUsername, deleteUser
- Исправлен роутинг api группы (было router.Group, стало serviceRouter.Group)

Теперь поддерживается:
- GET /api/users - доступ для всех авторизованных пользователей
- GET /api/users/:username - доступ для всех авторизованных
- POST /api/users/:username - только для администраторов
- DELETE /api/users/:username - только для администраторов

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

internal/handler/middleware.go

@@ -6,14 +6,88 @@ import (
 	"strings"
 
 	"github.com/gin-gonic/gin"
-	"github.com/sirupsen/logrus"
 )
 
 const (
 	authorizationHeader = "Authorization"
-	roleKey             = "user_role"
+	userRoleKey         = "user_role"
+	userIdKey           = "user_id"
 )
 
+// userIdentity - базовый middleware, извлекает пользователя из токена
+// Не проверяет роли, только валидность токена
+func (h *Handler) userIdentity(c *gin.Context) {
+	header := c.GetHeader(authorizationHeader)
+	if header == "" {
+		newErrorResponse(c, http.StatusUnauthorized, "Пустой header авторизации")
+		c.Abort()
+		return
+	}
+
+	headerParts := strings.Split(header, " ")
+	if len(headerParts) != 2 || headerParts[0] != "Bearer" {
+		newErrorResponse(c, http.StatusUnauthorized, "Невалидный формат токена")
+		c.Abort()
+		return
+	}
+
+	userRole, err := h.services.ParseToken(headerParts[1])
+	if err != nil {
+		newErrorResponse(c, http.StatusUnauthorized, "Невалидный токен")
+		c.Abort()
+		return
+	}
+
+	c.Set(userRoleKey, userRole)
+	c.Next()
+}
+
+// requireRole - middleware-фабрика, возвращает middleware для проверки конкретных ролей
+func (h *Handler) requireRole(allowedRoles ...internal.UserRole) gin.HandlerFunc {
+	return func(c *gin.Context) {
+		userRole, exists := c.Get(userRoleKey)
+		if !exists {
+			newErrorResponse(c, http.StatusUnauthorized, "Пользователь не авторизован")
+			c.Abort()
+			return
+		}
+
+		userRoleStr, ok := userRole.(string)
+		if !ok {
+			newErrorResponse(c, http.StatusInternalServerError, "Ошибка извлечения роли пользователя")
+			c.Abort()
+			return
+		}
+
+		// Проверяем, есть ли роль пользователя в списке разрешенных
+		for _, allowedRole := range allowedRoles {
+			if userRoleStr == allowedRole.ToString() {
+				c.Next()
+				return
+			}
+		}
+
+		newErrorResponse(c, http.StatusForbidden, "Недостаточно прав для выполнения запроса")
+		c.Abort()
+	}
+}
+
+// Вспомогательные методы для удобства
+
+// requireAdmin - только администраторы
+func (h *Handler) requireAdmin() gin.HandlerFunc {
+	return h.requireRole(internal.Admin)
+}
+
+// requireTeacher - учителя и администраторы
+func (h *Handler) requireTeacher() gin.HandlerFunc {
+	return h.requireRole(internal.Teacher, internal.Admin)
+}
+
+func (h *Handler) requireStudent() gin.HandlerFunc {
+	return h.requireRole(internal.Student, internal.Teacher, internal.Admin)
+}
+
 func (h *Handler) checkAdminIdentity(c *gin.Context) {
 	header := c.GetHeader(authorizationHeader)
 	if header == "" {
@@ -28,7 +102,7 @@ func (h *Handler) checkAdminIdentity(c *gin.Context) {
 	}
 
 	userRole, err := h.services.ParseToken(headerParts[1])
-	
+
 	if userRole != string(internal.Admin) {
 		newErrorResponse(c, http.StatusUnauthorized, "Недостаточно прав для выполнения запроса")
 		return
@@ -38,5 +112,5 @@ func (h *Handler) checkAdminIdentity(c *gin.Context) {
 		return
 	}
 
-	c.Set(roleKey, userRole)
+	c.Set(userRoleKey, userRole)
 }