hms/docs/discussions/2026-05-08-quality-systemic-prevention.md

质量问题系统性预防方案

日期: 2026-05-08 | 参与者: iven, Claude 触发: 4 轮角色测试发现 27 个问题，归纳出 5 种高频模式，分析根因后制定根治方案

背景

2026-05-06 至 2026-05-07 进行了 4 轮角色测试（5 角色 × 220+ API 项 + 175 前端交互项），共发现 27 个独立问题，已修复 22 个，剩余 5 个待处理。

归纳出 5 种高频模式：

1. 权限配置散落（9/27 = 33%）
2. 后端类型/状态不一致（5/27 = 19%）
3. 前后端 API 路径分叉（4/27 = 19%）
4. 缺少全局容错（3/27 = 11%）
5. 默认放行模式（6/27 = 22%）

共性深层问题：系统缺乏"定义一次，到处生效"的约束机制。

讨论要点

方案 1：权限注册表（单一真相源）

问题：权限码散落在 4 处（handler 字符串 / seed 迁移 SQL / 前端路由 meta / 菜单可见性），每加一个页面需手动同步 4 处。

方案：创建 permissions.yaml 作为唯一定义源，构建时自动生成：

• Rust 侧权限常量
• seed 迁移 INSERT 语句
• 前端路由权限映射
• 菜单可见性配置

优先级：P2（投入 3-5 天，最彻底但成本最高）

方案 2：API 契约自动同步

问题：后端 utoipa 生成 OpenAPI spec，前端完全不用，手动硬编码路径。

方案：从 OpenAPI spec 自动生成前端 API 客户端（openapi-typescript），消除路径拼写错误和类型不匹配。

优先级：P2（投入 2-3 天，需改造 service 层）

方案 3：状态机 + 类型安全 Seed

问题：告警 seed 数据 status=active，代码状态机只认 pending → 全部操作 422；escalation_level INT2 vs Entity i32 → 查询 500。

方案：

• 3a：状态机定义从代码注释提升为一等公民（宏定义 + 编译期校验）
• 3b：Seed 数据校验测试（验证 seed 的 status 字段值在合法状态列表中）

优先级：3b P1（投入 1 天），3a P2（投入 2-3 天）

方案 4：聚合接口防御性模式

问题：仪表盘统计 API 内部查 5 个子指标，任一失败 → 整个 500。

方案：在 erp-core 封装 safe_aggregate 工具函数，单个子查询失败返回零值/默认值。

优先级：P1（投入半天）

方案 5：默认拒绝 + 强制守卫

问题：路由守卫和菜单渲染默认放行，开发者需要主动加限制 → 容易遗漏。

方案：

• 5a：createProtectedRoute() wrapper — 不声明权限码则无法创建路由（编译期强制）
• 5b：CI 扫描未注册权限的后端端点
• 5c：新端点 lint 检查

优先级：P0（5a 半天，5b 1-2 天）

实施优先级

优先级	方案	投入	收益
P0	5a — createProtectedRoute wrapper	半天	杜绝路由守卫遗漏
P0	5b — CI 扫描未注册权限的端点	1-2 天	立即堵住权限遗漏
P1	4 — safe_aggregate 工具函数	半天	杜绝聚合接口 500
P1	3b — Seed 数据状态校验测试	1 天	杜绝 seed/代码不一致
P2	2 — OpenAPI 生成前端客户端	2-3 天	杜绝路径分叉
P2	1 — 权限注册表 YAML	3-5 天	统一权限管理

结论

核心思路：让"对的事情"变成"唯一能做的事情"。靠人记得加权限、记得同步路径、记得容错，注定会遗漏。把约束嵌入构建流程和代码框架，错自然就犯不了。

先做 P0+P1（2-3 天见效），P2 作为下一阶段质量基建。