refactor: 数据权限过滤从 GORM Callback 改为 Store 层显式调用

- 移除 RegisterDataPermissionCallback 和 SkipDataPermission 机制 - 在 Auth 中间件预计算 SubordinateShopIDs 并注入 Context - 新增 ApplyShopFilter/ApplyEnterpriseFilter/ApplyOwnerShopFilter 等 Helper 函数 - 所有 Store 层查询方法显式调用数据权限过滤函数 - 权限检查函数 CanManageShop/CanManageEnterprise 改为从 Context 获取数据 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2026-02-26 16:38:52 +08:00
parent 4ba1f5b99d
commit 03a0960c4d
46 changed files with 1573 additions and 705 deletions
--- a/openspec/specs/data-permission/spec.md
+++ b/openspec/specs/data-permission/spec.md
@@ -1,77 +1,60 @@
 # data-permission Specification

 ## Purpose
-TBD - created by archiving change refactor-framework-cleanup. Update Purpose after archive.
+
+数据权限过滤机制，通过业务层显式调用实现数据隔离。
+
 ## Requirements
-### Requirement: GORM Callback Data Permission
-
-系统 SHALL 使用 GORM Callback 机制自动为所有查询添加数据权限过滤。
-
-#### Scenario: 自动应用权限过滤
- **WHEN** 执行 GORM 查询
- **AND** Context 包含用户信息
- **AND** 表包含 owner_id 字段
- **THEN** 自动添加 WHERE owner_id IN (subordinateIDs) 条件
-
-#### Scenario: Root 用户跳过过滤
- **WHEN** 当前用户是 Root 用户
- **THEN** 不添加任何数据权限过滤条件
- **AND** 可查询所有数据
-
-#### Scenario: 无 owner_id 字段的表
- **WHEN** 表不包含 owner_id 字段
- **THEN** 不添加数据权限过滤条件
-
-#### Scenario: 授权记录表特殊处理
- **WHEN** 查询 `tb_enterprise_card_authorization` 表
- **AND** 当前用户是代理用户
- **THEN** 自动添加 WHERE enterprise_id IN (SELECT id FROM tb_enterprise WHERE owner_shop_id = 当前店铺ID) 条件
- **AND** 不包含下级店铺的数据
-
-#### Scenario: 平台用户查询授权记录
- **WHEN** 查询 `tb_enterprise_card_authorization` 表
- **AND** 当前用户是平台用户或超级管理员
- **THEN** 不添加数据权限过滤条件
- **AND** 可查询所有授权记录
-
-### Requirement: Skip Data Permission
-
-系统 SHALL 支持通过 Context 绕过数据权限过滤。
-
-#### Scenario: 显式跳过权限过滤
- **WHEN** 调用 SkipDataPermission(ctx) 获取新 Context
- **AND** 使用该 Context 执行 GORM 查询
- **THEN** 不添加任何数据权限过滤条件
-
-#### Scenario: 内部操作跳过过滤
- **WHEN** 执行内部同步、批量操作或管理员操作
- **THEN** 应使用 SkipDataPermission 绕过过滤

 ### Requirement: Subordinate IDs Caching

-系统 SHALL 缓存用户的下级 ID 列表以提高查询性能。
+系统 SHALL 缓存用户的下级店铺 ID 列表以提高查询性能。

 #### Scenario: 缓存命中
- **WHEN** 获取用户下级 ID 列表
+- **WHEN** 获取用户下级店铺 ID 列表
 - **AND** Redis 缓存存在
 - **THEN** 直接返回缓存数据

 #### Scenario: 缓存未命中
- **WHEN** 获取用户下级 ID 列表
+- **WHEN** 获取用户下级店铺 ID 列表
 - **AND** Redis 缓存不存在
- **THEN** 执行递归 CTE 查询获取下级 ID
+- **THEN** 执行递归查询获取下级店铺 ID
 - **AND** 将结果缓存到 Redis（30 分钟过期）

-### Requirement: Callback Registration
+#### Scenario: 请求级别复用
+- **WHEN** 同一请求内多次需要下级店铺 ID 列表
+- **THEN** 从 Context 中获取预计算的值
+- **AND** 不重复查询 Redis 或数据库

-系统 SHALL 在应用启动时注册 GORM 数据权限 Callback。
+### Requirement: Store 层显式数据权限过滤

-#### Scenario: 注册 Callback
- **WHEN** 调用 RegisterDataPermissionCallback(db, accountStore)
- **THEN** 注册 Query Before Callback
- **AND** Callback 名称为 "data_permission"
+系统 SHALL 在 Store 层查询方法中显式调用数据权限过滤函数。

-#### Scenario: AccountStore 依赖
- **WHEN** 注册 Callback 时
- **THEN** 需要传入 AccountStore 实例用于获取下级 ID
+#### Scenario: 有 shop_id 字段的表
+- **WHEN** Store 执行列表查询
+- **AND** 表包含 `shop_id` 字段
+- **THEN** 显式调用 `ApplyShopFilter(ctx, query)`
+- **AND** 代理用户只能查询 `shop_id IN (subordinateShopIDs)` 的数据

+#### Scenario: 有 enterprise_id 字段的表
+- **WHEN** Store 执行列表查询
+- **AND** 表包含 `enterprise_id` 字段
+- **AND** 当前用户为企业用户
+- **THEN** 显式调用 `ApplyEnterpriseFilter(ctx, query)`
+- **AND** 企业用户只能查询 `enterprise_id = ?` 的数据
+
+#### Scenario: 有 owner_shop_id 字段的表
+- **WHEN** Store 执行列表查询
+- **AND** 表包含 `owner_shop_id` 字段（如 Enterprise 表）
+- **THEN** 显式调用 `ApplyOwnerShopFilter(ctx, query)`
+- **AND** 代理用户只能查询 `owner_shop_id IN (subordinateShopIDs)` 的数据
+
+#### Scenario: NULL shop_id 不可见
+- **WHEN** 代理用户查询有 `shop_id` 字段的表
+- **AND** 记录的 `shop_id` 为 NULL（平台库存）
+- **THEN** 该记录对代理用户不可见
+
+#### Scenario: 平台用户/超管不过滤
+- **WHEN** 平台用户或超级管理员执行查询
+- **THEN** Helper 函数不添加任何过滤条件
+- **AND** 可查询所有数据