# 5 角色深度业务测试报告 — 2026-05-07 > 测试方法: API 深度测试(5 Agent 并行)+ 前端浏览器交互测试(Chrome DevTools MCP) > 环境: 本地 dev(后端 localhost:3000 + 前端 localhost:5174) > 所有测试均包含真实 CRUD 操作,非仅打开页面 ## 1. 总览 | 角色 | API 测试项 | API PASS | API FAIL | API ISSUE | API 通过率 | 前端验证 | |------|-----------|----------|----------|-----------|-----------|---------| | R01 Admin | 48 | 41 | 2 | 5 | 85.4% | 工作台+9链路全覆盖 | | R02 Doctor | 43 | 38 | 0 | 5 | 88.4% | 仪表盘+权限边界验证 | | R03 Nurse | 37 | 32 | 1 | 4 | 86.5% | 随访监控台+待办验证 | | R04 Health Manager | 42 | 31 | 2 | 9 | 73.8% | 今日任务流验证 | | R05 Operator | 50 | 47 | 0 | 3 | 94.0% | 运营仪表盘+文章积分 | | **合计** | **220** | **189** | **5** | **26** | **85.9%** | 4/5 角色工作台验证 | ## 2. 新发现的 BUG(本次测试独有) ### BUG-1: 患者性别/血型创建后丢失 [HIGH] **现象**: 新建患者时选择性别"男"和血型"A",保存后列表显示"-",编辑对话框回显"请选择性别/血型"。 **根因**: 前端新建表单的性别/血型 Select 组件值未正确映射到 POST 请求的 DTO 字段。`fill("男")` 仅设置显示文本,未触发组件内部 value 变更。 **影响**: 所有通过前端创建的患者性别和血型信息丢失。 **复现步骤**: 1. 患者管理 → 新建患者 2. 填写姓名 + 选择性别"男" + 选择血型"A" 3. 保存 → 列表中性别显示"-" 4. 点击编辑 → 性别和血型回显为空 ### BUG-2: 随访类型显示英文原始值 [MEDIUM] **现象**: 随访管理列表中,随访类型"visit"显示为英文原始值而非中文"上门"。"电话"类型正确显示中文。 **根因**: 前端随访类型映射字典缺少 `visit` → `上门` 的翻译。 ### BUG-3: 随访状态筛选不生效 [MEDIUM] — 复现确认 **现象**: 随访管理页面状态筛选下拉选择后,UI 更新标签但列表数据不过滤。 **复现**: 筛选"已完成"后仍显示"逾期"记录,总数不变。 ### BUG-4: 随访创建成功后对话框未关闭 [LOW] **现象**: 新建随访任务成功后(toast "随访任务创建成功"),对话框仍然显示,按钮处于 loading 状态。 **预期**: 创建成功后应自动关闭对话框。 ### BUG-5: Operator 积分商品页面无数据 [MEDIUM] **现象**: 积分商品页面加载但显示 "No data"。可能原因:API 路径不匹配。 ### BUG-6: Operator 登录后出现"服务器异常"toast [LOW] **现象**: operator_test 登录后出现"服务器异常,请稍后重试" toast 提示。仪表盘统计 API 可能返回 500。 ### BUG-7: Nurse/Doctor 侧边栏显示无权限菜单 [MEDIUM] **现象**: Nurse 角色侧边栏可见"积分运营"和"内容运营"菜单,但 nurse 没有任何积分/文章权限。Doctor 角色侧边栏可见"随访模板管理"和"AI 用量"但无权限。 ### BUG-8: 前端路由权限守卫不完整 [HIGH] — 复现确认 **现象**: 非 admin 角色通过 URL 直接访问受限页面,部分页面(如积分规则)可看到完整数据。 **本次复现**: - Doctor 访问 `/health/points-rules` → 可见完整积分规则数据 - Doctor 访问 `/users` → 可见用户列表 - Operator 访问受限页面 → 页面空白(后端 403 拦截数据,但无"权限不足"提示) ### BUG-9: 告警 seed 数据状态与状态机不匹配 [HIGH] — R02+R03 共现 **现象**: 告警 seed 数据 status="active",但后端状态机只认 "pending" 作为初始状态,导致所有 active 告警的 acknowledge/dismiss/resolve 操作均返回 422。 **影响范围**: R02 Doctor(3 项 ISSUE)+ R03 Nurse(3 项 ISSUE)= 6 个测试项受影响。 **修复建议**: 统一种子数据初始状态为 `pending`,或在状态机中增加 `active` 状态定义。 ### BUG-10: critical-alerts API 返回 500 [HIGH] — R02+R03+R04 共现 **现象**: `GET /health/critical-alerts` 返回 500 Internal Server Error。Admin/Doctor/Nurse/HealthManager 都有此权限。 **影响范围**: R02(1 FAIL)、R03(1 FAIL)、R04(1 FAIL)= 3 个角色受影响。 **根因**: `critical_alert_service.rs` 查询逻辑可能存在 SQL 映射或字段缺失问题。 ### BUG-11: 患者创建携带 id_number 字段时返回 500 [MEDIUM] — R02 发现 **现象**: `POST /health/patients` 携带 `id_number` 字段时返回 500,应返回 400/409 并提示原因。 ## 3. API 层测试详细发现 ### 3.1 R01 Admin(48 项,85.4%) **9 条链路全部可操作**:患者管理(6/6) → 随访管理(4/4) → 咨询管理(3/3) → 告警系统(2/2) → AI分析(2/3) → 内容管理(3/3) → 积分商城(3/3) → 线下活动(2/2) → 系统管理(7/9) **FAIL 项**: - AI 用量统计端点 `/ai/usage` 不存在(404) - 系统设置端点 `/settings` 不存在(404),功能分散在 `/config/*` **ISSUE 项**: - 患者编辑时 phone/allergies/emergency_contact 未更新(DTO 映射问题) - 文章状态更新 PUT 200 但 status 未变 published - 积分/活动 API 路径不统一(查询 vs 创建路径不同) ### 3.2 R02 Doctor(43 项,88.4%) **6 条链路测试**:患者诊疗(14/15) → 随访闭环(6/6) → 咨询接诊(6/6) → 告警处理(2/6) → AI分析(7/7) → 权限边界(7/7) **HIGH 发现**: - `GET /health/critical-alerts` 返回 500 - 告警 seed 数据 status="active" 与状态机不匹配,所有告警操作返回 400/422 **ISSUE**: - `POST /health/patients` 携带 `id_number` 字段返回 500(应 400/409) **正面发现**: - 患者管理、随访闭环、咨询接诊、AI 分析全部正常 - 权限边界 100% 正确拦截(7/7) - 乐观锁 version 字段正确工作 ### 3.3 R03 Nurse(37 项,86.5%) **5 条链路 + 权限边界**:患者管理(4/4) → 随访执行(4/4) → 咨询查看(3/3) → 告警响应(2/6) → 日常监测(6/6) → 知情同意(3/3) → 行动收件箱(4/4) → 权限边界(12/12) **FAIL 项**: - `GET /health/critical-alerts` 返回 500 **ISSUE 项**: - 告警 acknowledge/dismiss/resolve 全部返回 422(active 状态不匹配) - 同 R02 的 BUG-9 **正面发现**: - 随访状态机正确:pending → in_progress → completed 流转顺畅 - 日常监测完整链路通过:查看/创建/详情/更新 - 知情同意完整链路通过:查看/创建/撤销 - 权限边界 100% 正确拦截(12/12,含 AI/透析/模板/文章/健康数据写入) ### 3.4 R04 Health Manager(42 项,73.8%) **6 条链路测试**:患者标签 → 随访管理 → 咨询管理 → 告警监测 → AI分析 → 诊断知情 **HIGH 发现**: - `GET /health/critical-alerts` 返回 500(有权限但内部错误) - `GET /health/admin/statistics/dashboard` 返回 500 **权限边界**: 6/6 全部正确返回 403 ### 3.5 R05 Operator(50 项,94.0%) **后端权限拦截最佳**: 15 项边界测试全部正确 403 **链路结果**: 内容发布(12/13) + 积分商城(7/8) + 线下活动(2/2) + 设备告警只读(4/4) + AI用量(4/5) **ISSUE**: - DELETE 文章返回 415(格式问题) - PUT 积分规则需要 `data` 包装 - AI 配额摘要返回 500 ## 4. 前端角色工作台验证 | 角色 | 工作台类型 | 核心功能 | 状态 | |------|-----------|---------|------| | Admin | 系统管理仪表盘 | 6 服务状态 + 8 模块 + 用户活跃度 + 管理快捷入口 | PASS | | Doctor | 医生工作台 | AI建议(1) + 危急告警(2) + 咨询(3) + 重点关注(3) + 快捷操作 | PASS | | Nurse | 随访监控台 | 今日统计 + 待办(3类) + 告警列表 + 随访任务 + AI洞察 + 快捷操作 | PASS | | Operator | 运营仪表盘 | AI运营摘要 + 数据卡片 + 积分动态 + 内容矩阵(6发布+4草稿) + 快捷操作 | PASS(含toast) | ## 5. 安全评估 | 检查项 | 结果 | |--------|------| | 未认证请求拒绝 (401) | PASS — 全角色验证 | | JWT Token 验证 | PASS — 过期/无效 token 正确拒绝 | | 后端 RBAC 权限拦截 | PASS — 所有角色边界测试通过(403) | | 乐观锁 (version) | PASS — 并发更新保护生效 | | 软删除 | PASS — 删除操作正确标记 deleted_at | | 多租户 tenant_id 注入 | PASS — JWT 中间件自动注入 | | **前端路由守卫** | **FAIL** — 部分受限页面可通过 URL 绕过 | ## 6. 跨角色共性问题 | 问题 | 影响角色 | 严重程度 | 根因 | |------|---------|---------|------| | critical-alerts 500 | R02+R03+R04 | HIGH | 后端查询逻辑错误 | | 告警状态机不匹配 | R02+R03 | HIGH | seed 数据 active vs pending | | 前端路由守卫不完整 | R02+R03+R05 | HIGH | 路由 meta.permissions 未比对 | | 侧边栏菜单过度显示 | R02+R03 | MEDIUM | 菜单渲染缺权限码校验 | | 随访状态筛选不生效 | R01+R02+R03+R04 | MEDIUM | 前端筛选逻辑失效 | ## 7. 优先修复建议 | 优先级 | 问题 | 修复建议 | |--------|------|---------| | **P0** | 前端路由守卫不完整 (BUG-8) | 路由 beforeEach 全局守卫 + 权限码比对 | | **P0** | 告警 seed 状态不匹配 (BUG-9) | 统一种子数据 status 为 pending | | **P1** | critical-alerts 500 (BUG-10) | 排查 critical_alert_service 查询逻辑 | | **P1** | 患者性别/血型丢失 (BUG-1) | 修复新建患者表单 Select 组件值绑定 | | **P1** | 随访状态筛选不生效 (BUG-3) | 修复 FollowUpList 筛选逻辑 | | **P1** | 侧边栏菜单过度显示 (BUG-7) | 菜单渲染增加权限码校验 | | **P2** | 随访类型英文显示 (BUG-2) | 补充 visit → 上门 映射 | | **P2** | 随访创建后对话框未关 (BUG-4) | 成功回调关闭 modal | | **P2** | 积分商品无数据 (BUG-5) | 统一 API 路径 | | **P2** | 患者创建 id_number 500 (BUG-11) | 修复 DTO 验证返回 400 | | **P3** | Operator 服务器异常 toast (BUG-6) | 仪表盘统计 API 容错处理 | ## 8. 测试数据创建 本次测试创建了以下数据(可在后续清理): - 患者: "深度测试患者Admin"(admin 创建) - 患者: "深度测试Doctor患者"(doctor_test 创建) - 患者: "深度测试Nurse患者"(nurse_test 创建) - 随访: 多个角色各创建的随访任务 - 咨询: doctor_test 创建的咨询会话 - 日常监测: nurse_test 创建的监测记录 - 知情同意: nurse_test 创建的同意记录 - 各 Agent 创建的测试数据若干(患者、随访、咨询、文章等)