feat: 审计修复 Phase 6-7 — SSE 推送/工作流补全/消息群发/前端收尾

Phase 6 功能补全: - P1-3: 消息 SSE 实时推送端点 + 前端 EventSource 连接 - P1-6: ServiceTask HTTP 调用能力 (reqwest GET/POST) - P1-7: user.deleted 事件处理 — 终止相关流程实例 - P1-8: 任务认领 (claim) 端点 + handler - P1-9: 超时检查器发布 task.timeout 事件 - P1-15: 组织/部门名称唯一性校验 (create + update) - P1-18: 消息群发 fan-out (role/department/all 批量投递) Phase 7 P3-P4 收尾: - PluginAdmin purge 按钮状态修复 - ChangePassword 最小 8 字符 + 新旧密码不同验证 - AuditLogViewer 用户名缓存 + 扩展资源类型 - InstanceMonitor 通过 definition 缓存解析 node_name - NotificationPreferences DND 时间范围校验
2026-04-26 19:44:04 +08:00
parent 83fe89cbcd
commit b05b7c27a0
28 changed files with 996 additions and 67 deletions
--- a/wiki/architecture.md
+++ b/wiki/architecture.md
@@ -46,7 +46,33 @@ HMS 平台

 防止并发创建预约时超额。事务内 `UPDATE current_appointments + 1 WHERE current < max`，CAS 成功后才 INSERT 预约记录。

-## 2. 关键文件 + 数据流
+## 2. 项目结构
+
+### 目录布局
+
+```text
+hms/
+├── crates/                    # Rust Workspace
+│   ├── erp-core/             # L1: 基础类型、错误、事件、模块 trait
+│   ├── erp-auth/             # L2: 身份与权限模块
+│   ├── erp-workflow/         # L2: 工作流引擎模块
+│   ├── erp-message/          # L2: 消息中心模块
+│   ├── erp-config/           # L2: 系统配置模块
+│   ├── erp-health/           # L2: 健康管理模块 ★ HMS 核心
+│   └── erp-server/           # L3: Axum 服务入口，组装所有模块
+│       └── migration/        # SeaORM 数据库迁移
+├── apps/
+│   └── web/                  # Vite + React 19 SPA (主力前端)
+├── packages/
+│   └── ui-components/        # React 共享组件库
+├── desktop/                  # (可选) Tauri 桌面端
+├── docker/                   # Docker 开发环境配置
+├── docs/
+│   ├── superpowers/specs/    # 设计规格文档
+│   └── discussions/          # 讨论记录
+├── wiki/                     # 项目知识库
+└── Cargo.toml                # Workspace root
+```

 ### 模块依赖图

@@ -98,7 +124,76 @@ HMS 平台
 | 扩展 ← | [[wasm-plugin]] | 插件通过 Host Bridge 桥接 |
 | 业务 ← | [[erp-health]] | 健康模块原生集成 |

-## 3. 代码逻辑
+## 3. 模块开发规范
+
+### 新建业务模块清单
+
+每个新模块**必须**包含：
+
+1. `Cargo.toml` — 依赖 `erp-core`
+2. `src/lib.rs` — 模块入口，实现 `ErpModule` trait
+3. `src/error.rs` — 模块错误类型，wrap `AppError`
+4. `src/entity/` — SeaORM Entity 定义
+5. `src/service/` — 业务逻辑层
+6. `src/handler/` — Axum 路由处理器
+7. `src/event.rs` — 模块事件定义和处理器
+
+### ErpModule trait 实现
+
+```rust
+pub struct AuthModule;
+
+impl ErpModule for AuthModule {
+    fn name(&self) -> &str { "auth" }
+    fn version(&self) -> &str { env!("CARGO_PKG_VERSION") }
+    fn dependencies(&self) -> Vec<&str> { vec![] }
+
+    fn register_routes(&self, router: Router) -> Router {
+        router.nest("/api/v1", auth_routes())
+    }
+
+    fn register_event_handlers(&self, bus: &EventBus) { /* 订阅其他模块事件 */ }
+
+    async fn on_tenant_created(&self, tenant_id: Uuid) -> AppResult<()> { Ok(()) }
+}
+```
+
+### 数据库迁移规范
+
+- 迁移文件放在 `crates/erp-server/migration/src/`
+- 命名格式：`m{YYYYMMDD}_{6位序号}_{描述}.rs`
+- 必须可回滚（实现 `down` 方法）
+- 新增表必须包含所有标准字段（id, tenant_id, created_at, updated_at, created_by, updated_by, deleted_at, version）
+- 必须幂等（使用 `if_not_exists`）
+
+## 4. 安全注意事项
+
+### 认证安全
+
+- **密码存储**: Argon2 哈希，禁止明文
+- **JWT**: access token 15min + refresh token 7d
+- **Refresh Token 轮换**: 每次使用后签发新的，旧的作废
+- **Token 存储**: 桌面端使用 Tauri secure store
+- **密码修改**: 使所有已签发的 JWT 失效
+
+### 多租户安全
+
+- **中间件注入**: `tenant_id` 从 JWT 中提取，应用层不可伪造
+- **数据隔离**: 所有查询自动过滤 `tenant_id`
+- **越权防护**: 禁止跨租户数据访问
+- **租户 provisioning**: `on_tenant_created` 钩子初始化数据
+
+### 通用安全
+
+- 不硬编码密钥 — 使用环境变量或配置文件
+- 用户输入验证 — 所有 API 端点验证输入
+- SQL 注入防护 — SeaORM 参数化查询
+- 限流 — Redis token bucket
+- CORS — 白名单制，默认拒绝
+- 审计日志 — 所有关键操作记录变更前后状态
+- 动态表 SQL — 使用 `sanitize_identifier` 防注入
+
+## 5. 代码逻辑

 ⚡ **不变量**: 模块间只通过 EventBus 和 trait 通信，无直接依赖
 ⚡ **不变量**: 所有数据表必须含 `tenant_id`，查询自动过滤
@@ -108,15 +203,16 @@ HMS 平台
 ⚡ **不变量**: 预约创建必须走原子 CAS，不能用 read-then-write
 ⚡ **不变量**: PII 数据（身份证、手机号）加密存储 + 脱敏展示

-## 4. 活跃问题 + 陷阱
+## 6. 活跃问题 + 陷阱

 ⚠️ 当前共享数据库 + tenant_id 过滤，未来可扩展为 Schema 隔离或数据库隔离
 ⚠️ EventBus 内存 broadcast 需 outbox 持久化保障（已通过后台任务实现）
 ⚠️ 微信登录固定到 default_tenant_id — 多租户场景需设计解析策略

-## 5. 变更记录
+## 7. 变更记录

 | 日期 | 变更 |
 |------|------|
+| 2026-04-26 | 从 CLAUDE.md 迁移：目录结构、模块开发规范（§5）、安全注意事项（§7） |
 | 2026-04-25 | 全面更新：6 模块已实现状态表、预约 CAS 决策、PII 加密不变量、健康模块集成 |
 | 2026-04-23 | 重构为 5 节结构，删除 erp-common 引用，精简技术选型表 |
--- a/wiki/infrastructure.md
+++ b/wiki/infrastructure.md
@@ -82,7 +82,41 @@ psql: `D:\postgreSQL\bin\psql.exe -U postgres -h localhost -d erp`
 | 提供 → | [[testing]] | 测试环境配置 |
 | 提供 → | [[miniprogram]] | 后端 API + 微信登录 |

-## 3. 代码逻辑
+## 3. 常用命令
+
+### Rust
+
+```bash
+cargo check                        # 编译检查
+cargo test --workspace             # 运行所有测试
+cargo run -p erp-server            # 启动后端服务
+cargo fmt --check                  # 检查格式
+cargo clippy -- -D warnings        # Lint 检查
+```
+
+### 前端
+
+```bash
+cd apps/web && pnpm install        # 安装依赖
+cd apps/web && pnpm dev            # 开发模式（端口 5174）
+cd apps/web && pnpm build          # 构建生产版本
+```
+
+### 数据库
+
+```bash
+PGPASSWORD=123123 "D:\postgreSQL\bin\psql.exe" -U postgres -h localhost -d erp  # 连接数据库
+```
+
+### WASM 插件
+
+```bash
+cargo build -p erp-plugin-test-sample --target wasm32-unknown-unknown --release
+wasm-tools component new target/wasm32-unknown-unknown/release/erp_plugin_test_sample.wasm -o target/erp_plugin_test_sample.component.wasm
+cargo test -p erp-plugin-prototype  # 运行插件集成测试
+```
+
+## 4. 代码逻辑

 ### 一键启动（推荐）

@@ -110,16 +144,17 @@ cd apps/web && pnpm install && pnpm dev
 ⚡ **不变量**: 后端必须从 `crates/erp-server/` 目录启动或通过环境变量覆盖所有配置
 ⚡ **不变量**: Vite 固定端口 5174（`--strictPort`），前端代理 `/api` → 后端 3000

-## 4. 活跃问题 + 陷阱
+## 5. 活跃问题 + 陷阱

 ⚠️ Redis 不可达时限流自动降级为 fail-open（放行所有请求）
 ⚠️ Docker Compose 配置保留在 `docker/` 下但日常开发不依赖
 ⚠️ 首次 `cargo run` 编译整个 workspace 较慢（含 wasmtime），后续增量快

-## 5. 变更记录
+## 6. 变更记录

 | 日期 | 变更 |
 |------|------|
+| 2026-04-26 | 从 CLAUDE.md 迁移：常用命令（§9） |
 | 2026-04-25 | 外部化微信凭据和健康加密密钥为环境变量；添加 4 个新的必设环境变量 |
 | 2026-04-24 | 添加微信小程序配置信息和集成契约 |
 | 2026-04-23 | 重构为 5 节结构，确立为连接信息的单一真相源 |