csxj2026/junhong_cmp_fiber
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects 1 Releases Wiki Activity
Files
b02175271a3fbb95bfa0c7efbf68745b10d68729
junhong_cmp_fiber/openspec/changes/fix-authorization-remark-permission/proposal.md
huang b02175271a
All checks were successful
构建并部署到测试环境(无 SSH) / build-and-deploy (push) Successful in 5m39s
Details
feat: 实现企业设备授权功能并归档 OpenSpec 变更 
- 新增企业设备授权模块(Model、DTO、Service、Handler、Store)
- 实现设备授权的创建、查询、更新、删除等完整业务逻辑
- 添加企业卡授权与设备授权的关联关系
- 新增 2 个数据库迁移脚本
- 同步 OpenSpec delta specs 到 main specs
- 归档 add-enterprise-device-authorization 变更
- 更新 API 文档和路由配置
- 新增完整的集成测试和单元测试覆盖
2026-01-29 13:18:49 +08:00

1.2 KiB
Raw Blame History

授权记录备注修改权限修复

Why

当前“授权记录备注修改”链路缺少明确的权限边界校验:代理用户可能通过接口修改不属于自己创建的授权记录备注;企业用户也需要被明确禁止修改。

该问题会导致越权修改、审计信息失真,属于高风险权限缺陷。

What Changes

  • 权限规则落地
    • 平台/超级管理员:可修改任意授权记录备注
    • 代理:仅可修改“自己创建的授权记录”的备注(且必须在其可见数据范围内)
    • 企业:禁止修改授权记录备注
  • 服务端强校验:在 Service 层统一做权限判断与可见性校验Store 层更新语句增加必要约束,避免仅凭 id 更新造成越权。
  • 补充测试:新增集成测试覆盖平台/代理/企业三种用户场景,确保规则稳定。

Impact

涉及文件(预期):

  • Handlerinternal/handler/admin/authorization.go
  • Serviceinternal/service/enterprise_card/authorization_service.go
  • Storeinternal/store/postgres/enterprise_card_authorization_store.go
  • 测试:tests/integration/authorization_test.go(或新增对应用例文件)
Reference in New Issue View Git Blame Copy Permalink