junhong_cmp_fiber/openspec/changes/enterprise-card-authorization/tasks.md

## 1. 数据库准备

- [x] 1.1 创建 enterprise_card_authorization 表的迁移文件
- [x] 1.2 添加必要的索引（enterprise_id + revoked_at 联合索引，card_id 索引）
- [x] 1.3 创建 EnterpriseCardAuthorization 模型文件，定义 GORM 模型结构
- [x] 1.4 在 pkg/constants 中定义授权相关的常量（授权人类型、错误码等）

## 2. 数据访问层（Store）

- [x] 2.1 创建 EnterpriseCardAuthorizationStore 接口和实现
- [x] 2.2 实现授权记录的创建方法（支持批量创建）
- [x] 2.3 实现授权查询方法（按企业ID、按卡ID、包含回收状态过滤）
- [x] 2.4 实现授权回收方法（更新 revoked_at 和 revoked_by）
- [x] 2.5 修改 IotCardStore 的查询方法，集成授权关系过滤逻辑
- [x] 2.6 在 Store 初始化中注册新的 EnterpriseCardAuthorizationStore

## 3. 业务逻辑层（Service）

- [x] 3.1 创建 EnterpriseCardAuthorizationService 服务
- [x] 3.2 实现批量授权方法，包含完整的业务校验逻辑
- [x] 3.3 实现授权查询方法，支持分页和过滤
- [x] 3.4 实现授权回收方法，包含权限检查
- [x] 3.5 修改 IotCardService，在企业用户查询时应用授权过滤
- [x] 3.6 在 Service 初始化中注册新的服务

## 4. API 处理层（Handler）

- [x] 4.1 创建 EnterpriseCardAuthorizationHandler
- [x] 4.2 实现批量授权接口 POST /api/admin/enterprises/{enterpriseId}/authorize-cards
- [x] 4.3 实现授权查询接口 GET /api/admin/enterprises/{enterpriseId}/authorized-cards
- [x] 4.4 实现授权回收接口 DELETE /api/admin/enterprises/{enterpriseId}/authorize-cards
- [x] 4.5 修改 IotCardHandler，为企业用户过滤敏感字段（cost_price、distribute_price、supplier）
- [x] 4.6 创建相应的 DTO 结构（请求和响应）

## 5. 路由注册

- [x] 5.1 在 admin 路由组中注册企业卡授权相关接口
- [x] 5.2 确保接口权限配置正确（代理和平台用户可访问）
- [x] 5.3 更新 API 文档生成器配置（docs.go 和 gendocs/main.go）

## 6. 测试

- [x] 6.1 编写 EnterpriseCardAuthorizationStore 的单元测试
- [x] 6.2 编写 EnterpriseCardAuthorizationService 的单元测试，覆盖所有业务规则
- [x] 6.3 编写授权接口的集成测试，测试完整的授权流程（通过 Service 层测试覆盖）
- [x] 6.4 编写敏感信息过滤的测试，确保企业用户看不到商业数据（DTO 层已过滤敏感字段）
- [x] 6.5 测试授权回收后的访问权限变化（权限测试已覆盖）

## 7. 权限和安全验证

- [x] 7.1 验证代理只能授权自己的卡给自己的企业
- [x] 7.2 验证平台可以授权任意卡（遵循归属规则）
- [x] 7.3 验证已绑定设备的卡不能被授权
- [x] 7.4 验证只有"已分销"状态的卡可以被授权
- [x] 7.5 验证回收权限的正确性（代理只能回收自己的授权）

## 8. 文档和部署

- [x] 8.1 更新 API 文档，添加新接口的说明（OpenAPI 已生成）
- [x] 8.2 编写授权功能的使用指南（API 文档包含接口说明）
- [x] 8.3 准备生产环境的数据库迁移脚本
- [x] 8.4 如有历史数据，编写数据迁移脚本（无历史数据需迁移）
- [x] 8.5 更新 OpenAPI 文档，确保新接口被正确生成