TanWenyan/leaudit-platform-backend
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
08123b3b5aecc3547fad962d710ec2227523b8ed
leaudit-platform-backend/docs/权限与地区隔离/Pytest全链路验收说明.md
T

5.2 KiB
Raw Blame History

Pytest 全链路验收说明

目标

把“不同租户 + 不同角色权限”的发布前验收,固化成可重复执行的黑盒测试,而不是继续依赖手工点接口。

当前套件覆盖两层:

  1. G1-G3 发布门禁
  2. 多租户、多角色矩阵基础链路
  3. G4 文档跨租户读写边界
  4. G5 RAG 可见性与管理边界
  5. G6 规则集/评查组只读矩阵与交叉评查建单边界

执行方式

先安装测试依赖:

.venv/bin/pip install -e .[test]

执行全部发布验收:

.venv/bin/python -m pytest tests/release -m release

只执行门禁链路:

.venv/bin/python -m pytest tests/release/test_g1_rbac_context.py tests/release/test_g2_g3_tenant_entry_chain.py -m release

默认环境变量

测试默认打正在运行的本地后端:

  • LEAUDIT_TEST_BASE_URL=http://127.0.0.1:8096
  • LEAUDIT_TEST_ADMIN_USERNAME=000
  • LEAUDIT_TEST_ADMIN_PASSWORD=admin06111
  • LEAUDIT_TEST_TENANT_A_CODE=PTA01
  • LEAUDIT_TEST_TENANT_B_CODE=PTB01

如需切换:

LEAUDIT_TEST_BASE_URL=http://127.0.0.1:8096 .venv/bin/python -m pytest tests/release -m release

当前测试矩阵

角色

  • 全局管理用户:直接复用现有管理员账号
  • 租户管理员:自动创建 admin 角色测试用户
  • 租户普通用户:自动创建 common 角色测试用户

租户

  • PTA01 / Pytest租户A
  • PTB01 / Pytest租户B

链路

  • 登录 -> /api/auth/me
  • 路由树 -> /api/rbac/user/routes
  • 用户列表 -> /api/v3/rbac/users
  • 组织树 -> /api/admin/users/organizations/tree
  • 租户主数据 -> /api/v3/tenants/*
  • 用户租户切换 -> /api/v3/rbac/users/{id}/tenant
  • 首页入口 -> /api/home/entry-modules
  • 入口模块租户分配 -> /api/v3/entry-modules/*
  • 文档上传/列表/详情/更新/附件/删除 -> /api/documents/*
  • RAG 应用/数据集详情边界 -> /api/v3/rag/*
  • 规则集/评查组/交叉评查 -> /api/rule-sets/api/v3/evaluation-point-groups/*/api/v3/cross-review/*

测试数据策略

用户

测试用户通过 OAuth 登录自动建号 方式创建,再由管理员接口补齐:

  • 角色绑定
  • 租户绑定

这样可以避免直连数据库造数据,保持整套测试为 HTTP 黑盒。

租户

测试租户采用“存在则更新,不存在则创建”的策略,保证可重复运行。

入口模块

测试入口模块采用独立名称:

  • Pytest发布验收入口模块

该模块默认落到 /documents,避免被当前“首页入口还要求命中路由树”的逻辑误过滤。 该模块在用例内动态切换租户分配,用来验证首页入口是否随租户边界正确显隐。

当前已固化断言

G1

  • 管理员可正常登录
  • /api/auth/me 返回角色与权限上下文
  • /api/rbac/user/routes 返回管理路由
  • /api/v3/rbac/users 可访问
  • /api/admin/users/organizations/tree 可访问

G2

  • 测试租户可创建/更新并保持启用
  • 用户租户切换成功后,重新登录可看到正确 tenant_code

G3

  • 入口模块仅分配给租户 B 时,租户 A 首页不可见、租户 B 可见
  • 入口模块同时分配给租户 A/B 时,两边首页都可见

角色/租户矩阵

  • 全局管理员可以按不同租户查询用户
  • 租户管理员只能看到本租户用户
  • 租户管理员查询其他租户用户返回 403
  • 租户管理员不能修改其他租户用户
  • 普通用户不能访问系统设置管理接口
  • 普通用户仍可看到本租户业务入口

G4 文档

  • 租户 A 创建文档后,租户 A 可见、租户 B 不可见
  • 本租户管理员可更新本租户文档
  • 跨租户更新、附件追加、删除返回拒绝
  • 普通用户只能看到自己创建的文档
  • 附件追加 mergeMode=new 当前行为是生成新版本,并保留 previousVersionId

G5 RAG

  • 全局管理员可创建/更新不同租户数据集
  • 租户管理员可读取本租户数据集详情
  • 租户管理员当前不能访问 /api/v3/rag/datasets/admin
  • 租户管理员当前不能创建或修改数据集
  • 本租户私有应用仅本租户可见
  • 挂载公共数据集的应用可跨租户可见

G6 规则集 / 评查组 / 交叉评查

  • 规则集元数据列表当前为全局可读
  • 规则绑定列表按入口模块租户映射过滤
  • 评查组树按入口模块租户映射过滤
  • 交叉评查同租户建单成功
  • 交叉评查混入跨租户文档返回 403
  • 交叉评查混入跨租户成员返回 403

当前执行结果

最近一次完整执行结果:

  • tests/release -m release
  • 结果:16 passed

这 16 条通过表达的是“当前真实系统行为已经被固定下来”,不等于所有目标设计都已经完成。

其中需要特别注意:

  • RAG 当前仍保留“管理接口偏全局管理员”的现实权限模型
  • 规则集元数据目前是全局可读,不应误读为已经完成规则资产完全租户化
  • 交叉评查当前是单任务单租户模型

下一步扩展建议

下一批优先补:

  1. RAG 数据集文档上传、重处理、删除链路
  2. RAG 会话 创建、重命名、删除、消息反馈链路
  3. 规则版本 创建、发布、回滚、内容读取矩阵
  4. 交叉评查 补传、提案、投票、归档深链路
Reference in New Issue View Git Blame Copy Permalink