feat(iot-card-import): 为导入任务接口添加平台用户权限控制

- 在 Import/List/GetByID 接口添加用户类型校验
- 仅超级管理员和平台用户可访问
- 同步更新 OpenAPI 路由描述
- 补充集成测试覆盖权限拒绝场景

openspec/specs/iot-card-import-task/spec.md

@@ -81,6 +81,20 @@ TBD - created by archiving change iot-card-standalone-management. Update Purpose
 
 ---
 
+### Requirement: 导入任务创建权限控制
+
+系统 SHALL 仅允许超级管理员与平台用户创建 IoT 卡导入任务。
+
+#### Scenario: 平台用户创建导入任务
+- **WHEN** 平台用户请求创建导入任务
+- **THEN** 系统创建导入任务并返回任务信息
+
+#### Scenario: 非平台用户创建导入任务被拒绝
+- **WHEN** 非平台用户（代理账号/企业账号等）请求创建导入任务
+- **THEN** 系统返回 403（Forbidden），并返回统一错误码 `CodeForbidden`
+
+---
+
 ### Requirement: 导入任务列表查询
 
 系统 SHALL 支持查询导入任务列表,用于管理和监控导入任务。
@@ -95,20 +109,24 @@ TBD - created by archiving change iot-card-standalone-management. Update Purpose
 - 默认每页 20 条,最大每页 100 条
 - 默认按创建时间倒序排列
 
-**数据权限**:
-- 基于 shop_id 自动应用数据权限过滤
-- 代理只能看到自己店铺及下级店铺发起的导入任务
+**权限**:
+- 仅超级管理员/平台用户可查询导入任务列表
 
 #### Scenario: 查询所有导入任务
 
-- **WHEN** 管理员查询导入任务列表
+- **WHEN** 平台管理员查询导入任务列表
 - **THEN** 系统返回导入任务列表,包含任务编号、状态、运营商、总数、成功数、跳过数、失败数、创建时间
 
 #### Scenario: 按状态筛选导入任务
 
-- **WHEN** 管理员查询状态为 2(处理中) 的导入任务
+- **WHEN** 平台管理员查询状态为 2(处理中) 的导入任务
 - **THEN** 系统返回所有正在处理的导入任务列表
 
+#### Scenario: 非平台用户查询导入任务列表被拒绝
+
+- **WHEN** 非平台用户（代理账号/企业账号等）查询导入任务列表
+- **THEN** 系统返回 403（Forbidden），并返回统一错误码 `CodeForbidden`
+
 ---
 
 ### Requirement: 导入任务详情查询
@@ -123,11 +141,19 @@ TBD - created by archiving change iot-card-standalone-management. Update Purpose
 - 失败记录详情: 行号、ICCID、原因
 - 错误信息: 任务级错误(如有)
 
+**权限**:
+- 仅超级管理员/平台用户可查询导入任务详情
+
 #### Scenario: 查询导入任务详情
 
-- **WHEN** 管理员查询导入任务(ID 为 1)的详情
+- **WHEN** 平台管理员查询导入任务(ID 为 1)的详情
 - **THEN** 系统返回任务完整信息,包括跳过和失败记录的详细列表
 
+#### Scenario: 非平台用户查询导入任务详情被拒绝
+
+- **WHEN** 非平台用户（代理账号/企业账号等）查询导入任务详情
+- **THEN** 系统返回 403（Forbidden），并返回统一错误码 `CodeForbidden`
+
 #### Scenario: 查询导入任务的跳过记录
 
 - **WHEN** 管理员查询导入任务(ID 为 1)的跳过记录