huang
b02175271a
All checks were successful
构建并部署到测试环境(无 SSH) / build-and-deploy (push) Successful in 5m39s
- 新增企业设备授权模块(Model、DTO、Service、Handler、Store) - 实现设备授权的创建、查询、更新、删除等完整业务逻辑 - 添加企业卡授权与设备授权的关联关系 - 新增 2 个数据库迁移脚本 - 同步 OpenSpec delta specs 到 main specs - 归档 add-enterprise-device-authorization 变更 - 更新 API 文档和路由配置 - 新增完整的集成测试和单元测试覆盖
26 lines
1.2 KiB
Markdown
26 lines
1.2 KiB
Markdown
# 授权记录备注修改权限修复
|
||
|
||
## Why
|
||
|
||
当前“授权记录备注修改”链路缺少明确的权限边界校验:代理用户可能通过接口修改不属于自己创建的授权记录备注;企业用户也需要被明确禁止修改。
|
||
|
||
该问题会导致越权修改、审计信息失真,属于高风险权限缺陷。
|
||
|
||
## What Changes
|
||
|
||
- **权限规则落地**:
|
||
- 平台/超级管理员:可修改任意授权记录备注
|
||
- 代理:仅可修改“自己创建的授权记录”的备注(且必须在其可见数据范围内)
|
||
- 企业:禁止修改授权记录备注
|
||
- **服务端强校验**:在 Service 层统一做权限判断与可见性校验,Store 层更新语句增加必要约束,避免仅凭 `id` 更新造成越权。
|
||
- **补充测试**:新增集成测试覆盖平台/代理/企业三种用户场景,确保规则稳定。
|
||
|
||
## Impact
|
||
|
||
涉及文件(预期):
|
||
- Handler:`internal/handler/admin/authorization.go`
|
||
- Service:`internal/service/enterprise_card/authorization_service.go`
|
||
- Store:`internal/store/postgres/enterprise_card_authorization_store.go`
|
||
- 测试:`tests/integration/authorization_test.go`(或新增对应用例文件)
|
||
|