# Pytest 全链路验收说明

## 目标

把“不同租户 + 不同角色权限”的发布前验收，固化成可重复执行的黑盒测试，而不是继续依赖手工点接口。

当前套件覆盖两层：

1. `G1-G3` 发布门禁
2. 多租户、多角色矩阵基础链路
3. `G4` 文档跨租户读写边界
4. `G5` RAG 可见性与管理边界
5. `G6` 规则集/评查组只读矩阵与交叉评查建单边界

## 执行方式

先安装测试依赖：

```bash
.venv/bin/pip install -e .[test]
```

执行全部发布验收：

```bash
.venv/bin/python -m pytest tests/release -m release
```

只执行门禁链路：

```bash
.venv/bin/python -m pytest tests/release/test_g1_rbac_context.py tests/release/test_g2_g3_tenant_entry_chain.py -m release
```

## 默认环境变量

测试默认打正在运行的本地后端：

- `LEAUDIT_TEST_BASE_URL=http://127.0.0.1:8096`
- `LEAUDIT_TEST_ADMIN_USERNAME=000`
- `LEAUDIT_TEST_ADMIN_PASSWORD=admin06111`
- `LEAUDIT_TEST_TENANT_A_CODE=PTA01`
- `LEAUDIT_TEST_TENANT_B_CODE=PTB01`

如需切换：

```bash
LEAUDIT_TEST_BASE_URL=http://127.0.0.1:8096 .venv/bin/python -m pytest tests/release -m release
```

## 当前测试矩阵

### 角色

- 全局管理用户：直接复用现有管理员账号
- 租户管理员：自动创建 `admin` 角色测试用户
- 租户普通用户：自动创建 `common` 角色测试用户

### 租户

- `PTA01 / Pytest租户A`
- `PTB01 / Pytest租户B`

### 链路

- 登录 -> `/api/auth/me`
- 路由树 -> `/api/rbac/user/routes`
- 用户列表 -> `/api/v3/rbac/users`
- 组织树 -> `/api/admin/users/organizations/tree`
- 租户主数据 -> `/api/v3/tenants/*`
- 用户租户切换 -> `/api/v3/rbac/users/{id}/tenant`
- 首页入口 -> `/api/home/entry-modules`
- 入口模块租户分配 -> `/api/v3/entry-modules/*`
- 文档上传/列表/详情/更新/附件/删除 -> `/api/documents/*`
- RAG 应用/数据集详情边界 -> `/api/v3/rag/*`
- 规则集/评查组/交叉评查 -> `/api/rule-sets`、`/api/v3/evaluation-point-groups/*`、`/api/v3/cross-review/*`

## 测试数据策略

### 用户

测试用户通过 `OAuth 登录自动建号` 方式创建，再由管理员接口补齐：

- 角色绑定
- 租户绑定

这样可以避免直连数据库造数据，保持整套测试为 HTTP 黑盒。

### 租户

测试租户采用“存在则更新，不存在则创建”的策略，保证可重复运行。

### 入口模块

测试入口模块采用独立名称：

- `Pytest发布验收入口模块`

该模块默认落到 `/documents`，避免被当前“首页入口还要求命中路由树”的逻辑误过滤。
该模块在用例内动态切换租户分配，用来验证首页入口是否随租户边界正确显隐。

## 当前已固化断言

### G1

- 管理员可正常登录
- `/api/auth/me` 返回角色与权限上下文
- `/api/rbac/user/routes` 返回管理路由
- `/api/v3/rbac/users` 可访问
- `/api/admin/users/organizations/tree` 可访问

### G2

- 测试租户可创建/更新并保持启用
- 用户租户切换成功后，重新登录可看到正确 `tenant_code`

### G3

- 入口模块仅分配给租户 B 时，租户 A 首页不可见、租户 B 可见
- 入口模块同时分配给租户 A/B 时，两边首页都可见

### 角色/租户矩阵

- 全局管理员可以按不同租户查询用户
- 租户管理员只能看到本租户用户
- 租户管理员查询其他租户用户返回 `403`
- 租户管理员不能修改其他租户用户
- 普通用户不能访问系统设置管理接口
- 普通用户仍可看到本租户业务入口

### G4 文档

- 租户 A 创建文档后，租户 A 可见、租户 B 不可见
- 本租户管理员可更新本租户文档
- 跨租户更新、附件追加、删除返回拒绝
- 普通用户只能看到自己创建的文档
- 附件追加 `mergeMode=new` 当前行为是生成新版本，并保留 `previousVersionId`

### G5 RAG

- 全局管理员可创建/更新不同租户数据集
- 租户管理员可读取本租户数据集详情
- 租户管理员当前不能访问 `/api/v3/rag/datasets/admin`
- 租户管理员当前不能创建或修改数据集
- 本租户私有应用仅本租户可见
- 挂载公共数据集的应用可跨租户可见

### G6 规则集 / 评查组 / 交叉评查

- 规则集元数据列表当前为全局可读
- 规则绑定列表按入口模块租户映射过滤
- 评查组树按入口模块租户映射过滤
- 交叉评查同租户建单成功
- 交叉评查混入跨租户文档返回 `403`
- 交叉评查混入跨租户成员返回 `403`

## 当前执行结果

最近一次完整执行结果：

- `tests/release -m release`
- 结果：`16 passed`

这 16 条通过表达的是“当前真实系统行为已经被固定下来”，不等于所有目标设计都已经完成。

其中需要特别注意：

- `RAG` 当前仍保留“管理接口偏全局管理员”的现实权限模型
- 规则集元数据目前是全局可读，不应误读为已经完成规则资产完全租户化
- 交叉评查当前是单任务单租户模型
## 下一步扩展建议

下一批优先补：

1. `RAG` 数据集文档上传、重处理、删除链路
2. `RAG 会话` 创建、重命名、删除、消息反馈链路
3. `规则版本` 创建、发布、回滚、内容读取矩阵
4. `交叉评查` 补传、提案、投票、归档深链路