TanWenyan/leaudit-platform-backend
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
leaudit-platform-backend/docs/权限与地区隔离/新平台主链路租户改造实施任务单.md
T

303 lines
6.2 KiB
Markdown
Raw Permalink Blame History

# 新平台主链路租户改造实施任务单
> 目标:把新平台主链路从“半租户化”推进到“关键链路 tenant-first”
> 当前优先级:先修会落错数据、查错范围、跨租户误改的链路
---
## T1 文档上传 tenant-first 收口
### 数据库变更
- 无强制新表
- 如当前库中还没有文档业务快照字段,需要补充:
- `leaudit_documents.root_group_id`
- `leaudit_documents.entry_module_id`
### 后端改造
- `Upload` 改为显式以 `tenant_code` 为主,不再依赖 `region` 主导归属
- 上传时校验:
- `group_id` 必须属于 `document_type_id`
- `group_id` 必须属于当前入口模块业务树
- `group_id` 必须属于当前租户允许范围
- 上传落库时持久化:
- `tenant_code`
- `group_id`
- `root_group_id`
- `entry_module_id`
### 前端改造
- 上传页显式提交 `tenant_code`
- 上传页不再仅传 `region`
- 上传页当前租户显式展示
### 验收点
- 同一文档类型、不同租户上传,不会再混入同一版本链
- 上传请求缺少 `tenant_code` 时,行为明确可控
- 非当前租户二级组 ID 无法上传成功
### 风险
- 历史旧文档若仍无 `tenant_code`,需要兼容迁移窗口
---
## T2 文档列表/详情停止 `tenant_code + region` 混查
### 数据库变更
- 如缺索引,确认:
- `idx_leaudit_documents_tenant_code`
- `idx_leaudit_documents_group_id`
### 后端改造
- 收紧 `_document_tenant_filter_sql`
- 收紧 `_buildDocumentScopeFilters`
- 收紧 `_find_latest_version_candidate`
- 停止危险的“`tenant_code` 不命中就退回 `region`
### 前端改造
- 文档列表请求显式带 `tenant_code`
- 列表页显示当前租户范围
### 验收点
- 同地区旧数据不会再被当成当前租户数据读出来
- 文档列表和详情在同一租户下口径一致
### 风险
- 某些历史脏数据可能在收紧后“暂时查不到”,需要预先判定为预期行为
---
## T3 文档业务边界快照固化
### 数据库变更
- 补字段:
- `leaudit_documents.root_group_id`
- `leaudit_documents.entry_module_id`
### 后端改造
- 上传落库时写入业务快照
- 列表/详情优先读持久化快照,不再运行时推断
- 减少 `COALESCE(d.group_id, inferred_group_id)` 这类推导
### 前端改造
- 无必须改动
- 后续可显示上传时绑定的业务子类型
### 验收点
- 分组树配置变化后,历史文档仍保持原业务归属
### 风险
- 需要一次性回填历史文档快照
---
## T4 RuleController 鉴权与权限补齐
### 数据库变更
-
### 后端改造
- `RuleController` 全量加 `verify_access_token`
- 补功能权限校验
- 统一透传当前租户上下文
### 前端改造
- 无必须改动
### 验收点
- 未登录不能直接访问规则接口
- 无权限用户不能读写规则版本和绑定
### 风险
- 可能暴露前端现有页面实际依赖“裸接口”的问题
---
## T5 评查组读链路 tenant-first 收口
### 数据库变更
- 短期可先不改表结构
- 中期需要评估给 `leaudit_evaluation_point_groups` 增加 `tenant_code`
### 后端改造
- `ListGroups`
- `ListAllGroups`
- `GetGroup`
- `GetChildren`
- `ListGroupsByDocumentTypes`
以上全部接入租户过滤
### 前端改造
- `rule-groups` 页面查询显式带 `tenant_code`
- 页面头部显示当前租户
### 验收点
- 不同租户打开分组页,看到的根组/子组不再混杂
### 风险
- 如果当前业务暂时仍共享分组树,需要先定义共享策略
---
## T6 评查组写链路 tenant-first 收口
### 数据库变更
- 中期大概率需要:
- `leaudit_evaluation_point_groups.tenant_code`
- `leaudit_rule_group_bindings.tenant_code`
### 后端改造
- `CreateGroup`
- `UpdateGroup`
- `DeleteGroup`
- `BatchDelete`
- `BatchUpdateStatus`
- `RebindGroup`
- `CreateBinding`
- `UpdateBinding`
- `DeleteBinding`
全部改成租户内操作
### 前端改造
- 编辑、删除、迁移前提示当前租户范围
### 验收点
- 无法跨租户误删、误绑、误迁移分组
### 风险
- `RebindGroup` 是最高危操作,必须单独加保护
---
## T7 规则版本与规则集归属模型重构
### 数据库变更
- 评估是否新增:
- `leaudit_rule_sets.tenant_code`
- `leaudit_rule_versions.tenant_code`
### 后端改造
- `CreateVersion`
- `PublishRuleVersion`
- `RollbackRuleVersion`
- `ListSets`
- `GetVersions`
- `GetContent`
全部明确租户归属模型
### 前端改造
- 规则列表/版本查看显示当前租户
### 验收点
- 一个租户发布规则版本,不会影响另一个租户同名规则类型
### 风险
- 这是最深层模型调整,需要最后做,不适合第一批直接大改
---
## T8 前端作用域上下文统一
### 数据库变更
-
### 后端改造
- 允许并鼓励所有主链路查询显式接受 `tenant_code`
### 前端改造
- 首页点击入口时带上 `tenant_code`
- sessionStorage 记录 `selectedTenantCode`
- 上传页、列表页、分组页、文档类型页全部统一读取/透传
### 验收点
- 跨页面刷新、跨模块进入后,租户上下文不丢失
### 风险
- 需要统一多页面的 scope 来源,避免出现多个来源互相覆盖
---
## T9 交叉评查跨租户策略明确化
### 数据库变更
- 可选补快照字段到 `leaudit_review_point_audits`
### 后端改造
- 明确 `_hasCrossReviewDocumentAccess` 是否允许跨租户
- 如果允许:
- 做显式特权链路
- 做审计快照
- 如果不允许:
- 收紧 bypass scope
### 前端改造
- 交叉评查页展示任务涉及租户
### 验收点
- 跨租户访问行为是“明确允许”而不是“意外绕过”
### 风险
- 这是业务策略题,改之前必须先拍板
---
## 当前建议执行顺序
1. `T1 文档上传 tenant-first 收口`
2. `T2 文档列表/详情停止 tenant_code + region 混查`
3. `T4 RuleController 鉴权与权限补齐`
4. `T5 评查组读链路 tenant-first 收口`
5. `T8 前端作用域上下文统一`
6. `T3 文档业务边界快照固化`
7. `T6 评查组写链路 tenant-first 收口`
8. `T9 交叉评查跨租户策略明确化`
9. `T7 规则版本与规则集归属模型重构`
Reference in New Issue View Git Blame Copy Permalink