## MODIFIED Requirements

### Requirement: IoT 卡查询和权限控制

系统 SHALL 支持基于用户类型和授权关系的 IoT 卡查询权限控制。

**查询权限规则**：
- **超级管理员/平台用户**：可以查询所有 IoT 卡
- **代理用户**：可以查询自己店铺和下级店铺的 IoT 卡
- **企业用户**：
  - 可以查询分配给自己企业的卡（owner_type="enterprise" 且 owner_id=自己的企业ID）
  - 可以查询授权给自己企业的卡（通过 enterprise_card_authorization 表关联）
- **个人客户**：只能查询自己拥有的卡

**数据过滤**：
- 企业用户查询时，自动过滤敏感商业信息（cost_price、distribute_price、supplier）
- 其他用户类型可以看到完整信息

#### Scenario: 企业用户查询自己拥有的卡

- **WHEN** 企业用户查询 IoT 卡列表，且存在 owner_type="enterprise" 且 owner_id=该企业ID 的卡
- **THEN** 系统返回这些卡的信息，但隐藏 cost_price、distribute_price、supplier 字段

#### Scenario: 企业用户查询被授权的卡

- **WHEN** 企业用户查询 IoT 卡列表，且存在通过 enterprise_card_authorization 授权给该企业的卡
- **THEN** 系统返回这些授权卡的信息，但隐藏商业敏感字段，同时包含授权人和授权时间信息

#### Scenario: 企业用户无法查询未授权的卡

- **WHEN** 企业用户尝试查询既不属于自己也未被授权的卡
- **THEN** 系统在查询结果中不包含这些卡，如同它们不存在

#### Scenario: 代理用户正常查询

- **WHEN** 代理用户查询 IoT 卡
- **THEN** 系统返回该代理店铺及其下级店铺的所有卡，包含完整信息

#### Scenario: 授权被回收后企业无法查询

- **WHEN** 卡的授权被回收后（revoked_at 不为空），企业用户查询该卡
- **THEN** 系统不返回该卡信息，企业无法再看到该卡