2 Commits

Author	SHA1	Message	Date
hailin	816c5461f9	feat(auth): add platform_super_admin role for two-level platform access control ... 在 platform_admin 之上新增 platform_super_admin 角色，实现平台管理员的两级权限体系。 ## 角色层级 platform_super_admin > platform_admin > admin > operator > viewer - platform_super_admin：最高平台权限，含所有 platform_admin 操作 + 破坏性操作（删除租户/用户/版本） - platform_admin：日常平台运营，可查看/编辑租户、管理 App 版本、配置账单套餐，不可执行删除 ## 变更明细 ### auth-service — role-type.vo.ts - 新增 RoleType.PLATFORM_SUPER_ADMIN = 'platform_super_admin' ### auth-service — tenant.controller.ts - 租户列表/创建/查看/编辑：@Roles('platform_admin', 'platform_super_admin')（两级均可） - 删除租户 DELETE /:id：@Roles('platform_super_admin')（仅超管） ### auth-service — user.controller.ts - 类级别：@Roles('platform_admin', 'platform_super_admin')（两级均可访问用户列表/创建/编辑） - 删除用户 DELETE /:id：@Roles('platform_super_admin')（仅超管） ### version-service — guards/platform-admin.guard.ts - 更新：接受 platform_admin 或 platform_super_admin 任一角色 - 重构：抽取 decodeJwtRoles() 工具函数，供 PlatformSuperAdminGuard 复用 ### version-service — guards/platform-super-admin.guard.ts（新文件） - 仅接受 platform_super_admin 角色 - 与 PlatformAdminGuard（类级别）叠加使用，实现方法级别的超管限制 ### version-service — version.controller.ts - DELETE /:id：叠加 @UseGuards(PlatformSuperAdminGuard)（仅超管可删除版本文件） ### web-admin — sidebar.tsx - isPlatformAdmin 检测同时涵盖 platform_admin 和 platform_super_admin - 两级平台管理员均显示相同侧边栏菜单 ## 升级现有账号为 platform_super_admin UPDATE public.users SET roles = '{platform_super_admin}' WHERE email = 'xxx@xxx.com'; Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-03-07 01:17:27 -08:00
hailin	0ab7261129	feat(auth): introduce platform_admin role with proper access separation ... 新增 platform_admin 角色，将平台超管与租户管理员的权限彻底分离。 ## 后端变更 ### auth-service — role-type.vo.ts - 新增 RoleType.PLATFORM_ADMIN = 'platform_admin' - DEFAULT_ROLE_PERMISSIONS 中为 PLATFORM_ADMIN 添加空权限集（平台层操作，不参与租户内权限体系） ### auth-service — tenant.controller.ts - 移除类级别 @Roles('admin')，改为方法级别精细控制： - 租户 CRUD（列表/创建/GET/:id/PATCH/:id/PUT/:id/DELETE/:id）→ @Roles('platform_admin') - 成员管理（listMembers/updateMember/removeMember）→ @Roles('admin') - 邀请管理（listInvites/createInvite/revokeInvite）→ @Roles('admin') - 租户管理员可继续管理自己团队的成员和邀请，但无法访问跨租户的租户 CRUD ### auth-service — user.controller.ts - /api/v1/auth/users（跨租户用户列表/CRUD）→ @Roles('platform_admin') - 原来任意 admin 均可查看所有用户，现仅平台超管可访问 ### version-service — guards/platform-admin.guard.ts（新文件） - 新增 PlatformAdminGuard：从 Authorization: Bearer <JWT> 中 base64 解码 payload， 检查 roles 包含 'platform_admin'（无需重复验签，Kong 已完成签名校验） - 不依赖 @nestjs/passport，轻量、无额外依赖 ### version-service — version.controller.ts - 整个 /api/v1/versions 控制器挂载 @UseGuards(PlatformAdminGuard) - App 版本管理（上传/发布/删除 APK/IPA）仅平台超管可操作 ## 前端变更 ### it0-web-admin — sidebar.tsx - 登录时从 localStorage.user.roles 检测是否为 platform_admin - 平台超管侧边栏：仪表盘 / 租户管理 / 用户（跨租户）/ App版本 / 账单（套餐+概览+账单记录）/ 设置 - 租户用户侧边栏：仪表盘 / Agent配置 / Runbooks / 常驻指令 / 服务器 / 监控 / 终端 / 安全 / 审计 / 通信 / 账单（概览+账单记录，无套餐管理）/ 设置 ## 创建第一个平台超管账号 直接更新数据库： UPDATE it0_t_default.users SET roles = '{platform_admin}' WHERE email = 'xxx@xxx.com'; 或通过已有 platform_admin 账号调用 POST /api/v1/auth/users 并指定 role: 'platform_admin' Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-03-07 00:57:40 -08:00