# 租户与角色权限关系真实案例说明

> 适用范围：`leaudit-platform` 当前 `角色权限 + 租户配置 + 数据范围` 模型  
> 更新日期：2026-05-20  
> 文档定位：不用抽象术语，直接用真实业务例子说明“租户”和“角色权限配置”到底是什么关系。

---

## 1. 先记一句最核心的话

这套系统里有三层控制：

1. `角色权限`
   - 管“这个人能不能做这件事”
2. `租户配置`
   - 管“这件事能不能落到这个租户上”
3. `数据范围`
   - 管“这个人最终能看到哪些租户的数据”

它们是三层，不是一层。

---

## 2. 例子 1：入口模块

假设现在有两个租户：

- `MZ` = 梅州
- `PUBLIC` = 公共资源域

再假设有一个用户 `张三`：

- 人属于 `MZ`
- 角色有：
  - `entry_module:create`
  - `entry_module:update`

这时候只能说明一件事：

- 张三“有权新建和编辑入口模块”

但这还不能直接推出：

- 张三可以把入口模块挂到任何租户上

还要再看租户配置。

如果租户配置是：

- `MZ.feature_keys` 包含 `home.entry_module`
- `MZ.can_host_entry_module = true`
- `PUBLIC.feature_keys` 包含 `home.entry_module`
- `PUBLIC.can_host_entry_module = false`

那么结果就是：

1. 张三可以进入入口模块管理页
2. 张三可以新建入口模块
3. 张三可以把模块挂到 `MZ`
4. 张三不能把模块挂到 `PUBLIC`

为什么？

- 因为权限页只给了他“操作资格”
- 但 `PUBLIC` 没开放“可承载入口模块”

所以这里的判断链路是：

1. 先看角色权限：能不能新建
2. 再看租户承载能力：这个租户能不能被选
3. 最后才允许落库

---

## 3. 例子 2：文档上传

假设用户 `李四`：

- 属于 `HZ`
- 角色里有 `documents:upload:create`

这说明：

- 李四“可以上传文档”

但如果 `HZ` 这个租户配置是：

- `feature_keys` 没有 `documents.upload`
- 或者 `can_host_documents = false`

那么正确行为应该是：

1. 李四即使有上传权限
2. `HZ` 这个租户也不应该作为文档归属租户被使用
3. 页面可能不显示上传入口，或者后端直接拒绝

也就是说：

- `有权限` 不等于 `这个租户允许承载这类业务`

---

## 4. 例子 3：知识库

假设用户 `王五`：

- 属于 `MZ`
- 角色里有 `rag:dataset:manage`

这说明：

- 王五可以管理知识库

但是否能给 `SZ` 租户建知识库，还要看：

- `SZ.feature_keys` 是否开启了 `rag.dataset`
- `SZ.can_host_rag` 是否为 `true`

如果：

- `SZ` 没开 `rag.dataset`

那就算王五权限再高，也不应该把知识库业务落到 `SZ`

这里要理解：

- `rag:dataset:manage` 是“人有能力操作”
- `feature_keys / can_host_rag` 是“租户有没有资格承载这个业务”

---

## 5. 例子 4：公共资源域 `PUBLIC`

这个最容易混。

假设 `PUBLIC` 用来放：

- 公共模板
- 公共规则
- 公共知识库底座
- 公共入口模块

那 `PUBLIC` 的意义是：

- 这是一个“共享资源归属地”
- 不是谁都能随便改的地方

比如用户 `赵六`：

- 属于 `MZ`
- 角色只有 `document:read`

那他可能可以看到 `PUBLIC` 下的一些共享资源，  
但如果没有 `document:update` 或更高权限：

- 他也不能改 `PUBLIC` 的资源

所以：

- `PUBLIC` 决定资源归属偏共享
- `角色权限` 决定你能不能动这份共享资源

---

## 6. 例子 5：为什么角色权限页和租户页看起来都在管“入口模块/文档/知识库”

因为它们问的不是同一个问题。

角色权限页在问：

- 这个用户能不能进入这个模块？
- 能不能新增、编辑、删除？

租户页在问：

- 这个租户开不开这个业务？
- 这个租户能不能承载这类数据？

可以把它理解成：

- `角色权限 = 驾照`
- `租户能力 = 哪些路允许走`
- `数据范围 = 你今天实际能开到哪些区域`

只有驾照，没有开通道路，不行。  
只有道路开放，没有驾照，也不行。

---

## 7. 一个完整串联例子

假设你要“给梅州上线一个新的首页入口模块”。

要同时满足下面 6 件事：

1. 当前操作人有权限
   - 例如有 `entry_module:create`
2. `MZ` 租户开放了入口模块业务
   - `feature_keys` 包含 `home.entry_module`
3. `MZ` 允许承载入口模块
   - `can_host_entry_module = true`
4. 当前人数据范围允许操作这个租户
   - 不是只能管自己部门，却跑去配别的租户
5. 首页用户属于 `MZ`
   - 登录后解析出 `tenant_code = MZ`
6. 首页读取时，模块租户关系里包含 `MZ`

最后结果才是：

- 后台能配置
- 前台能看到
- 数据不会挂错租户

---

## 8. 一句话收口

比如“入口模块”这个词，在系统里其实对应 3 个不同问题：

1. `角色权限`
   - 你能不能配入口模块
2. `租户配置`
   - 这个租户开不开入口模块
   - 这个租户能不能承载入口模块
3. `数据范围`
   - 你能不能看到或操作这个租户下的入口模块

这三件事少一件都不成立。

---

## 9. 最终理解公式

后续看所有业务模块，都可以套下面这条公式：

`最终是否允许 = 角色权限通过`

并且

`目标租户开放该业务`

并且

`目标租户允许承载该类数据`

并且

`当前用户数据范围允许访问该租户/该资源`

只要按这个公式看，就不会再把“角色权限”和“租户配置”混成一件事。