迪诺学堂标识

20-安全合规中心详细PRD

SEC · 覆盖数据分级、字段脱敏、访问控制、审计、人脸合规、学员账号保护和备份恢复。

系统 迪诺学堂
版本 v1.0
日期 2026-06-23
阶段 模块详细 PRD

01 · 模块定位

安全合规中心

越权用户无法查看敏感字段;授权撤回后人脸数据不可继续使用;关键操作可追溯。

业务目标

覆盖数据分级、字段脱敏、访问控制、审计、人脸合规、学员账号保护和备份恢复。

使用终端

PC Web 安全合规后台,覆盖所有端和接口的权限、审计与数据安全。

验收主线

越权用户无法查看敏感字段;授权撤回后人脸数据不可继续使用;关键操作可追溯。

02 · 范围边界

明确本模块负责什么、依赖什么、不负责什么

边界清晰后,原型、接口和数据库设计才能避免重复建设。

模块内范围

  • 数据分级
  • 字段脱敏
  • 导出审批
  • 人脸授权
  • 操作审计
  • 备份恢复
  • 敏感字段查看审批
  • 临时授权
  • 授权过期回收
  • 查看水印审计

上游依赖

  • 组织校区与账号权限
  • 课程/客户/合同等主数据
  • 审批流、消息模板、文件中心
  • 必要的第三方接口密钥

下游输出

  • 业务状态和待办
  • 消息通知和审批记录
  • 报表指标和数据快照
  • 审计日志和接口回执

03 · 确认口径、后台配置与默认实施规则

安全合规中心必须承接的已确认规则

本章节来自待决策与澄清清单的收口结果,已经转为本模块 PRD 的正式需求、配置项或默认实施规则。
分类事项本模块落地要求责任方
默认实施规则接口设计说明书组织方式采用单独 HTML 文件集中管理接口协议;模块 PRD 保留模块级接口摘要,避免每个模块重复写通用协议。产品/研发
默认实施规则数据库分区与归档策略设备事件、直播互动、接口日志、视频会话、操作审计按时间分区和归档,交易主表保留业务索引和审计快照。DBA/后端
默认实施规则接口错误码与重试中间件所有外部接口和内部异步任务统一错误码、幂等键、重试次数、告警阈值和回执归档策略。后端/测试/运维

04 · 业务流程

安全合规中心主流程

流程用于指导原型图的页面顺序、按钮状态和异常分支。
01数据分级

数据按普通、敏感、财务、人脸、未成年人数据分级

02字段脱敏

手机号、身份证、人脸、工资、利润等敏感字段脱敏

03导出审批

导出审批需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。

04人脸授权

人脸授权需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。

05操作审计

操作审计需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。

06备份恢复

备份恢复需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。

07敏感字段查看审批

敏感字段查看审批需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。

08临时授权

手机号、人脸、合同、票据、薪资等敏感字段需要支持明文查看审批、临时授权、授权过期自动回收、查看水印和审计留痕。

05 · 功能清单

按子模块拆到可设计、可开发、可测试的颗粒度

每一行功能都需要在原型中体现入口、状态、按钮、字段和反馈。
一级功能二级功能功能说明规则/验收
数据分级安全配置与审计数据分级支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
数据分级业务处理数据按普通、敏感、财务、人脸、未成年人数据分级必须联动状态、权限、消息、审批和指标
数据分级异常闭环高危导出处理失败原因可见、可重试、可转人工、可追溯
字段脱敏安全配置与审计字段脱敏支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
字段脱敏业务处理手机号、身份证、人脸、工资、利润等敏感字段脱敏必须联动状态、权限、消息、审批和指标
字段脱敏异常闭环授权撤回处理失败原因可见、可重试、可转人工、可追溯
导出审批安全配置与审计导出审批支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
导出审批业务处理导出审批需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
导出审批异常闭环恢复演练失败处理失败原因可见、可重试、可转人工、可追溯
人脸授权安全配置与审计人脸授权支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
人脸授权业务处理人脸授权需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
人脸授权异常闭环敏感查看越权处理失败原因可见、可重试、可转人工、可追溯
操作审计安全配置与审计操作审计支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
操作审计业务处理操作审计需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
操作审计异常闭环临时授权过期处理失败原因可见、可重试、可转人工、可追溯
备份恢复安全配置与审计备份恢复支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
备份恢复业务处理备份恢复需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
备份恢复异常闭环审批原因缺失处理失败原因可见、可重试、可转人工、可追溯
敏感字段查看审批安全配置与审计敏感字段查看审批支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
敏感字段查看审批业务处理敏感字段查看审批需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
敏感字段查看审批异常闭环水印生成失败处理失败原因可见、可重试、可转人工、可追溯
临时授权安全配置与审计临时授权支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
临时授权业务处理手机号、人脸、合同、票据、薪资等敏感字段需要支持明文查看审批、临时授权、授权过期自动回收、查看水印和审计留痕。必须联动状态、权限、消息、审批和指标
临时授权异常闭环高危导出处理失败原因可见、可重试、可转人工、可追溯
授权过期回收安全配置与审计授权过期回收支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
授权过期回收业务处理授权过期回收需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
授权过期回收异常闭环授权撤回处理失败原因可见、可重试、可转人工、可追溯
查看水印审计安全配置与审计查看水印审计支持规则配置、审批、授权、回收、审计查询和异常告警。敏感字段、导出、删除、授权和高危操作必须留痕
查看水印审计业务处理查看水印审计需覆盖入口、字段、状态、权限、审批/消息、异常处理、审计和指标统计,并与上下游模块保持数据一致。必须联动状态、权限、消息、审批和指标
查看水印审计异常闭环恢复演练失败处理失败原因可见、可重试、可转人工、可追溯

功能到数据对象/接口/表映射

功能域承接对象核心表代表接口状态机/状态字段研发落地校验
数据分级PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/01terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
字段脱敏SensitiveFieldPolicysec_sensitive_field_policy接口资源组 /api/v1/sec/features/02biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
导出审批ExportApprovalsec_export_approvalPOST/GET /api/v1/audit/exportexport_biz_type、approval_status新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
人脸授权PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/04terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
操作审计PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/05terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
备份恢复PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/06terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
敏感字段查看审批PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/07terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
临时授权PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/08terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
授权过期回收PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/09terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计
查看水印审计PermissionPolicy、SensitiveFieldPolicy、SensitiveAccessApproval、ExportApprovalsec_permission_policy、sec_sensitive_field_policy、sec_sensitive_access_approval、sec_export_approval接口资源组 /api/v1/sec/features/10terminal_type、biz_type、approval_status、export_biz_type新增/编辑/删除/审批/导出/回调均需校验租户、校区、角色、数据范围、逻辑删除、幂等和审计

06 · 原子级功能需求

用于研发任务拆分和测试用例追踪

需求编号可直接进入项目管理工具。
编号需求描述入口页面关键动作输入校验输出结果异常处理验收标准
FR-SEC-001数据按普通、敏感、财务、人脸、未成年人数据分级敏感字段查看审批明文查看申请、临时授权或过期回收校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务审批原因缺失、越权查看或水印生成失败主流程、异常流、权限流、接口失败和数据一致性均可通过测试
FR-SEC-002手机号、身份证、人脸、工资、利润等敏感字段脱敏电子工资条/薪资核算薪资核算、工资条发布或员工确认校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务工资条未发布、显示配置缺失或员工异议超期主流程、异常流、权限流、接口失败和数据一致性均可通过测试
FR-SEC-003导出、删除、金额变更、权限变更需审批或留痕敏感访问申请明文查看审批校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务恢复演练失败主流程、异常流、权限流、接口失败和数据一致性均可通过测试
FR-SEC-004人脸采集需家长授权并支持撤回和删除敏感字段查看审批明文查看申请、临时授权或过期回收校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务审批原因缺失、越权查看或水印生成失败主流程、异常流、权限流、接口失败和数据一致性均可通过测试
FR-SEC-005定期备份业务数据、合同文件、票据、回执和授权记录敏感字段查看审批明文查看申请、临时授权或过期回收校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务审批原因缺失、越权查看或水印生成失败主流程、异常流、权限流、接口失败和数据一致性均可通过测试
FR-SEC-006手机号、人脸、合同、票据、薪资等敏感字段需要支持明文查看审批、临时授权、授权过期自动回收、查看水印和审计留痕。电子工资条/薪资核算薪资核算、工资条发布或员工确认校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务工资条未发布、显示配置缺失或员工异议超期主流程、异常流、权限流、接口失败和数据一致性均可通过测试
FR-SEC-007敏感字段明文查看需按字段级权限、业务原因、审批结果、有效期和下载限制控制。敏感字段查看审批明文查看申请、临时授权或过期回收校验租户、校区、角色、数据范围、状态前置、必填、唯一和敏感操作授权生成业务记录、状态流转、消息通知、审计日志、指标快照和必要的第三方任务审批原因缺失、越权查看或水印生成失败主流程、异常流、权限流、接口失败和数据一致性均可通过测试

07 · 关联闭环补充需求

安全合规中心在跨模块闭环中的责任边界

本章节承接最终闭环核对清单,明确本模块需要补齐的页面、接口对象、异常兜底和验收口径。
闭环项本模块责任关键场景页面/功能补充关联对象/接口验收口径
跨模块闭环主责提供跨模块流程的审计、权限、敏感操作审批和责任追溯补课、合同、财务、设备、直播、工资条等跨模块异常审计日志、敏感操作审批、异常追溯、责任矩阵查看AuditLog、SensitiveAccessApproval、ClosureOwnershipMatrix闭环关键动作必须有操作人、时间、前后值、来源端和审批记录
合同补充协议负责补充协议签署、下载、导出和查看中的权限、脱敏、水印与审计家长、顾问、财务、法务查看或导出合同附件敏感文件访问、导出审批、审计水印、合同附件权限Contract/Order/Payment、SensitiveAccessApproval合同附件访问必须受数据范围、授权和水印审计控制
工资条撤回重发负责工资条敏感字段、查看水印、导出审批和撤回重发审计员工查看薪资、社保、公积金或提交异议工资条访问审计、敏感字段配置、导出审批PayrollPayslip/SalaryItem、AuditLog工资条所有查看、撤回、重发、确认和异议均需审计

08 · 页面与原型设计说明

页面清单、布局要求、按钮字段和状态

原型图设计需要覆盖列表、详情、表单、弹窗、空状态、异常状态和权限状态。
终端页面用户页面目标布局结构关键按钮关键字段异常状态原型备注
PC Web安全审计系统管理员查询操作日志、导出审批、人脸授权和恢复记录设备页按校区、设备、人员、事件四层组织,识别流水支持照片、置信度、课次匹配和异常处理入口。新增设备、人员下发、查看心跳、确认异常、撤回授权、重试下发、查看回执设备编号、设备品牌、所属校区、人员编号、人脸照片、置信度、匹配课次、删除回执、操作人、敏感字段设备离线、人员下发失败、低置信度、跨校区识别、模板删除失败、回执缺失需覆盖设备在线/离线、人员模板下发、识别异常确认、家长撤回授权、设备离线延迟删除和隐私审计。 建议 Figma Frame:SEC-安全审计;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web敏感字段查看审批全角色/安全管理员申请查看手机号、人脸、合同、票据、薪资等敏感字段明文,审批通过后限时授权并加水印审计设备页按校区、设备、人员、事件四层组织,识别流水支持照片、置信度、课次匹配和异常处理入口。新增设备、人员下发、查看心跳、确认异常、撤回授权、重试下发、查看回执设备编号、设备品牌、所属校区、人员编号、人脸照片、置信度、匹配课次、删除回执、操作人、敏感字段设备离线、人员下发失败、低置信度、跨校区识别、模板删除失败、回执缺失需覆盖设备在线/离线、人员模板下发、识别异常确认、家长撤回授权、设备离线延迟删除和隐私审计。 建议 Figma Frame:SEC-敏感字段查看审批;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台敏感访问申请系统管理员/安全审计员围绕敏感数据完善敏感访问申请的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-敏感访问申请;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台导出审批系统管理员/安全审计员围绕敏感数据完善导出审批的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-导出审批;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台审计日志系统管理员/安全审计员围绕敏感数据完善审计日志的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-审计日志;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台高危操作弹窗系统管理员/安全审计员围绕高危操作完善高危操作弹窗的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-高危操作弹窗;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台审批流系统管理员/安全审计员围绕高危操作完善审批流的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-审批流;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台审计详情系统管理员/安全审计员围绕高危操作完善审计详情的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-审计详情;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台异常追溯系统管理员/安全审计员围绕跨模块追责完善异常追溯的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-异常追溯;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台责任矩阵系统管理员/安全审计员围绕跨模块追责完善责任矩阵的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-责任矩阵;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。
PC Web/审计后台处理任务系统管理员/安全审计员围绕跨模块追责完善处理任务的入口、字段、状态、异常提示、处理进度和验收反馈安全页按操作对象、敏感字段、审批单和风险等级检索,详情展示水印、前后值、授权时效和审计链路。申请明文查看、审批授权、临时授权、导出审批、撤回授权、查询审计、下载水印文件操作人、敏感字段、业务对象、审批原因、授权时长、水印编号、导出范围、风险等级、审批对象、审计结果越权查看、审批原因缺失、授权过期、水印生成失败、导出被驳回、审计缺失需覆盖明文查看、脱敏展示、临时授权、导出审批、水印追踪、删除/作废高危操作和审计留痕。 建议 Figma Frame:SEC-处理任务;需补齐正常、空态、加载、无权限、处理中、成功和失败状态。

09 · 页面到接口的前后端闭环矩阵

把原型页面、后端接口、数据对象、状态和消息审批绑定到一起

设计原型时,每个关键页面必须能解释前端展示什么、后端提交什么、状态怎么变、异常怎么处理。
原型页面关键接口关联对象状态流审批/权限触发消息/待办触达原型验收要求
安全审计POST/GET /api/v1/audit/exportPermissionPolicy未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
敏感字段查看审批POST/GET /api/v1/audit/exportSensitiveFieldPolicy已提交 -> 家长已确认 -> 设备删除中 -> 部分失败 -> 已删除 -> 人工处理 -> 已关闭无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
敏感访问申请POST/GET /api/v1/audit/exportSensitiveAccessApproval未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
导出审批POST/GET /api/v1/audit/exportExportApproval已提交 -> 家长已确认 -> 设备删除中 -> 部分失败 -> 已删除 -> 人工处理 -> 已关闭无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
审计日志POST/GET /api/v1/audit/exportHighRiskOperation未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
高危操作弹窗POST/GET /api/v1/audit/exportBackupRecord已提交 -> 家长已确认 -> 设备删除中 -> 部分失败 -> 已删除 -> 人工处理 -> 已关闭无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
审批流POST/GET /api/v1/audit/exportPermissionPolicy未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
审计详情POST/GET /api/v1/audit/exportSensitiveFieldPolicy已提交 -> 家长已确认 -> 设备删除中 -> 部分失败 -> 已删除 -> 人工处理 -> 已关闭无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
异常追溯POST/GET /api/v1/audit/exportSensitiveAccessApproval未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
责任矩阵POST/GET /api/v1/audit/exportExportApproval已提交 -> 家长已确认 -> 设备删除中 -> 部分失败 -> 已删除 -> 人工处理 -> 已关闭无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口
处理任务POST/GET /api/v1/audit/exportHighRiskOperation未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除无审批时仍需写操作审计,敏感操作按安全中心规则触发审批数据导出审批 -> 审批人原型需展示入口、主按钮、禁用原因、提交中、成功、失败、无权限、空状态和异常转人工入口

10 · 原型、UI、研发、测试交付补充

把关键闭环补强为下一阶段可执行任务

本章节为正式 PRD 的交付要求,面向原型图、UI、开发、联调和测试分工。
能力域功能补充要求原型交付要求UI 交互要求研发实现要求测试验收要求
敏感数据补齐明文查看申请、临时授权、水印、导出审批、过期回收和审计。敏感访问申请、导出审批、审计日志 需要在原型中拆到列表、详情、表单、弹窗、空状态、失败态、无权限态和处理进度。UI 需清晰呈现状态标签、流程节点、主次按钮、危险操作确认、移动/平板/TV 适配和错误提示;PC 管理端遵循统一框架,仅输出信息架构和交互说明。后端需提供接口幂等、权限校验、状态机、审计日志、消息/审批触发、异步补偿和跨模块数据一致性保障。测试需覆盖主流程、异常流、权限流、重复提交、批量部分失败和数据一致性;敏感数据每次查看和导出都有审批或授权记录。
高危操作补齐二次确认、审批触发、前后值快照、恢复入口和影响范围提示。高危操作弹窗、审批流、审计详情 需要在原型中拆到列表、详情、表单、弹窗、空状态、失败态、无权限态和处理进度。UI 需清晰呈现状态标签、流程节点、主次按钮、危险操作确认、移动/平板/TV 适配和错误提示;PC 管理端遵循统一框架,仅输出信息架构和交互说明。后端需提供接口幂等、权限校验、状态机、审计日志、消息/审批触发、异步补偿和跨模块数据一致性保障。测试需覆盖主流程、异常流、权限流、重复提交、批量部分失败和数据一致性;高危动作可追溯、可解释,必要时可恢复。
跨模块追责补齐责任矩阵、异常归因、审计链路和关闭标准。异常追溯、责任矩阵、处理任务 需要在原型中拆到列表、详情、表单、弹窗、空状态、失败态、无权限态和处理进度。UI 需清晰呈现状态标签、流程节点、主次按钮、危险操作确认、移动/平板/TV 适配和错误提示;PC 管理端遵循统一框架,仅输出信息架构和交互说明。后端需提供接口幂等、权限校验、状态机、审计日志、消息/审批触发、异步补偿和跨模块数据一致性保障。测试需覆盖主流程、异常流、权限流、重复提交、批量部分失败和数据一致性;跨模块异常不会停留在无法定位责任的状态。

11 · 数据对象与字段字典

明确页面、接口、数据库共同使用的数据语言

字段涉及敏感、人脸、财务、绩效时,原型需体现脱敏、授权和审计。

核心对象

对象说明
PermissionPolicy菜单、按钮、字段和接口权限策略;落地表:sec_permission_policy
SensitiveFieldPolicy敏感字段脱敏策略;落地表:sec_sensitive_field_policy
SensitiveAccessApproval敏感数据查看审批;落地表:sec_sensitive_access_approval
ExportApproval敏感数据导出审批;落地表:sec_export_approval
HighRiskOperation高危操作留痕与二次确认;落地表:sec_high_risk_operation
BackupRecord数据备份与恢复记录;落地表:sec_backup_record

关联引用对象

对象说明
Organization集团、区域、校区、部门组织树;引用来源:FND / sys_organization
User/Employee统一登录账号;引用来源:FND / sys_user
Employee员工基础档案;引用来源:FND / sys_employee
Role角色定义;引用来源:FND / sys_role
ApprovalFlow审批流配置;引用来源:FND / sys_approval_flow
MessageTemplate消息模板与多端触达配置;引用来源:FND / sys_message_template
AuditLog全平台操作审计日志;引用来源:FND / sys_audit_log
IntegrationLog接口调用日志;引用来源:OPEN / int_integration_log
Lead销售线索主表;引用来源:CRM / crm_lead
Contract合同主表;引用来源:CON / con_contract
PayrollPayslip电子工资条;引用来源:HR / hr_payslip
Invoice报销发票与 OCR 结果;引用来源:FIN / exp_invoice
FacePerson人脸人员库;引用来源:FAC / dev_face_person

完整字段字典

对象字段类型必填规则数据级别
PermissionPolicyidBIGINT主键,雪花或号段生成,禁止复用普通
PermissionPolicytenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
PermissionPolicyorg_idBIGINT所属组织,集团级或公共配置为空普通
PermissionPolicycampus_idBIGINT所属校区,跨校区或总部级数据为空普通
PermissionPolicycreated_byBIGINT创建人账号 ID普通
PermissionPolicycreated_atDATETIME创建时间普通
PermissionPolicyupdated_byBIGINT最后更新人账号 ID普通
PermissionPolicyupdated_atDATETIME最后更新时间普通
PermissionPolicyis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
PermissionPolicydeleted_atDATETIME删除时间,未删除为空普通
PermissionPolicydeleted_byBIGINT删除人账号 ID,未删除为空普通
PermissionPolicyversionINT乐观锁版本号,写操作必须校验普通
PermissionPolicypolicy_codeVARCHAR(64)策略编码,唯一普通
PermissionPolicyrole_idBIGINT角色 ID普通
PermissionPolicyterminal_typeVARCHAR(32)PC/App/小程序/H5/TV/大屏普通
PermissionPolicyresource_policyJSON资源权限配置普通
PermissionPolicyfield_policyJSON字段权限配置普通
PermissionPolicyenabledTINYINT是否启用普通
SensitiveFieldPolicyidBIGINT主键,雪花或号段生成,禁止复用普通
SensitiveFieldPolicytenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
SensitiveFieldPolicyorg_idBIGINT所属组织,集团级或公共配置为空普通
SensitiveFieldPolicycampus_idBIGINT所属校区,跨校区或总部级数据为空普通
SensitiveFieldPolicycreated_byBIGINT创建人账号 ID普通
SensitiveFieldPolicycreated_atDATETIME创建时间普通
SensitiveFieldPolicyupdated_byBIGINT最后更新人账号 ID普通
SensitiveFieldPolicyupdated_atDATETIME最后更新时间普通
SensitiveFieldPolicyis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
SensitiveFieldPolicydeleted_atDATETIME删除时间,未删除为空普通
SensitiveFieldPolicydeleted_byBIGINT删除人账号 ID,未删除为空普通
SensitiveFieldPolicyversionINT乐观锁版本号,写操作必须校验普通
SensitiveFieldPolicyfield_codeVARCHAR(128)字段编码,唯一普通
SensitiveFieldPolicybiz_typeVARCHAR(64)业务类型普通
SensitiveFieldPolicymask_ruleVARCHAR(64)脱敏规则普通
SensitiveFieldPolicyview_requires_approvalTINYINT明文查看是否需审批普通
SensitiveFieldPolicywatermark_requiredTINYINT是否加水印普通
SensitiveAccessApprovalidBIGINT主键,雪花或号段生成,禁止复用普通
SensitiveAccessApprovaltenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
SensitiveAccessApprovalorg_idBIGINT所属组织,集团级或公共配置为空普通
SensitiveAccessApprovalcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
SensitiveAccessApprovalcreated_byBIGINT创建人账号 ID普通
SensitiveAccessApprovalcreated_atDATETIME创建时间普通
SensitiveAccessApprovalupdated_byBIGINT最后更新人账号 ID普通
SensitiveAccessApprovalupdated_atDATETIME最后更新时间普通
SensitiveAccessApprovalis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
SensitiveAccessApprovaldeleted_atDATETIME删除时间,未删除为空普通
SensitiveAccessApprovaldeleted_byBIGINT删除人账号 ID,未删除为空普通
SensitiveAccessApprovalversionINT乐观锁版本号,写操作必须校验普通
SensitiveAccessApprovalrequest_noVARCHAR(64)申请编号,唯一普通
SensitiveAccessApprovalapplicant_idBIGINT申请人 ID普通
SensitiveAccessApprovalbiz_typeVARCHAR(64)业务类型普通
SensitiveAccessApprovalbiz_idBIGINT业务 ID普通
SensitiveAccessApprovalfield_scopeJSON申请查看字段普通
SensitiveAccessApprovalaccess_reasonVARCHAR(512)查看原因普通
SensitiveAccessApprovalexpire_atDATETIME授权过期时间普通
SensitiveAccessApprovalapproval_statusVARCHAR(32)审批状态,未发起为空普通
SensitiveAccessApprovalapproval_instance_idBIGINT关联审批实例 ID普通
ExportApprovalidBIGINT主键,雪花或号段生成,禁止复用普通
ExportApprovaltenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
ExportApprovalorg_idBIGINT所属组织,集团级或公共配置为空普通
ExportApprovalcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
ExportApprovalcreated_byBIGINT创建人账号 ID普通
ExportApprovalcreated_atDATETIME创建时间普通
ExportApprovalupdated_byBIGINT最后更新人账号 ID普通
ExportApprovalupdated_atDATETIME最后更新时间普通
ExportApprovalis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
ExportApprovaldeleted_atDATETIME删除时间,未删除为空普通
ExportApprovaldeleted_byBIGINT删除人账号 ID,未删除为空普通
ExportApprovalversionINT乐观锁版本号,写操作必须校验普通
ExportApprovalexport_noVARCHAR(64)导出编号,唯一普通
ExportApprovalapplicant_idBIGINT申请人 ID普通
ExportApprovalexport_biz_typeVARCHAR(64)导出业务类型普通
ExportApprovalfilter_snapshotJSON导出筛选条件快照普通
ExportApprovalfile_idBIGINT导出文件 ID普通
ExportApprovaldownload_expire_atDATETIME下载过期时间普通
ExportApprovalapproval_statusVARCHAR(32)审批状态,未发起为空普通
ExportApprovalapproval_instance_idBIGINT关联审批实例 ID普通
HighRiskOperationidBIGINT主键,雪花或号段生成,禁止复用普通
HighRiskOperationtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
HighRiskOperationorg_idBIGINT所属组织,集团级或公共配置为空普通
HighRiskOperationcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
HighRiskOperationcreated_byBIGINT创建人账号 ID普通
HighRiskOperationcreated_atDATETIME创建时间普通
HighRiskOperationupdated_byBIGINT最后更新人账号 ID普通
HighRiskOperationupdated_atDATETIME最后更新时间普通
HighRiskOperationis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
HighRiskOperationdeleted_atDATETIME删除时间,未删除为空普通
HighRiskOperationdeleted_byBIGINT删除人账号 ID,未删除为空普通
HighRiskOperationversionINT乐观锁版本号,写操作必须校验普通
HighRiskOperationoperation_noVARCHAR(64)操作编号,唯一普通
HighRiskOperationoperator_idBIGINT操作人 ID普通
HighRiskOperationoperation_typeVARCHAR(64)删除/作废/红冲/批量导出/权限变更普通
HighRiskOperationbiz_typeVARCHAR(64)业务类型普通
HighRiskOperationbiz_idBIGINT业务 ID普通
HighRiskOperationconfirm_payloadJSON二次确认内容普通
HighRiskOperationoperation_statusVARCHAR(32)待确认/已执行/已取消/失败普通
BackupRecordidBIGINT主键,雪花或号段生成,禁止复用普通
BackupRecordtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
BackupRecordorg_idBIGINT所属组织,集团级或公共配置为空普通
BackupRecordcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
BackupRecordcreated_byBIGINT创建人账号 ID普通
BackupRecordcreated_atDATETIME创建时间普通
BackupRecordupdated_byBIGINT最后更新人账号 ID普通
BackupRecordupdated_atDATETIME最后更新时间普通
BackupRecordis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
BackupRecorddeleted_atDATETIME删除时间,未删除为空普通
BackupRecorddeleted_byBIGINT删除人账号 ID,未删除为空普通
BackupRecordversionINT乐观锁版本号,写操作必须校验普通
BackupRecordbackup_noVARCHAR(64)备份编号,唯一普通
BackupRecordbackup_scopeJSON备份范围普通
BackupRecordstorage_locationVARCHAR(512)备份存储位置普通
BackupRecordbackup_started_atDATETIME开始时间普通
BackupRecordbackup_finished_atDATETIME结束时间普通
BackupRecordbackup_statusVARCHAR(32)进行中/成功/失败/已过期普通

引用对象字段字典

引用表对象字段类型必填规则数据级别
sys_organizationOrganizationidBIGINT主键,雪花或号段生成,禁止复用普通
sys_organizationOrganizationtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_organizationOrganizationorg_idBIGINT所属组织,集团级或公共配置为空普通
sys_organizationOrganizationcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_organizationOrganizationcreated_byBIGINT创建人账号 ID普通
sys_organizationOrganizationcreated_atDATETIME创建时间普通
sys_organizationOrganizationupdated_byBIGINT最后更新人账号 ID普通
sys_organizationOrganizationupdated_atDATETIME最后更新时间普通
sys_organizationOrganizationis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_organizationOrganizationdeleted_atDATETIME删除时间,未删除为空普通
sys_organizationOrganizationdeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_organizationOrganizationversionINT乐观锁版本号,写操作必须校验普通
sys_organizationOrganizationorg_codeVARCHAR(64)组织编码,租户内唯一普通
sys_organizationOrganizationorg_nameVARCHAR(128)组织名称普通
sys_organizationOrganizationorg_typeVARCHAR(32)集团/区域/校区/部门/法人主体普通
sys_organizationOrganizationparent_idBIGINT上级组织 ID,根节点为空普通
sys_organizationOrganizationsort_noINT同级排序普通
sys_organizationOrganizationenabledTINYINT是否启用普通
sys_userUser/EmployeeidBIGINT主键,雪花或号段生成,禁止复用普通
sys_userUser/Employeetenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_userUser/Employeeorg_idBIGINT所属组织,集团级或公共配置为空普通
sys_userUser/Employeecampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_userUser/Employeecreated_byBIGINT创建人账号 ID普通
sys_userUser/Employeecreated_atDATETIME创建时间普通
sys_userUser/Employeeupdated_byBIGINT最后更新人账号 ID普通
sys_userUser/Employeeupdated_atDATETIME最后更新时间普通
sys_userUser/Employeeis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_userUser/Employeedeleted_atDATETIME删除时间,未删除为空普通
sys_userUser/Employeedeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_userUser/EmployeeversionINT乐观锁版本号,写操作必须校验普通
sys_userUser/Employeeuser_noVARCHAR(64)账号编号,唯一普通
sys_userUser/Employeelogin_nameVARCHAR(64)登录名,唯一普通
sys_userUser/EmployeemobileVARCHAR(32)手机号,敏感脱敏展示敏感
sys_userUser/Employeepassword_hashVARCHAR(255)密码哈希,禁止前端返回高敏
sys_userUser/Employeeuser_typeVARCHAR(32)员工/学员/家长/外部账号普通
sys_userUser/Employeelogin_statusVARCHAR(32)正常/锁定/停用/待激活普通
sys_employeeEmployeeidBIGINT主键,雪花或号段生成,禁止复用普通
sys_employeeEmployeetenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_employeeEmployeeorg_idBIGINT所属组织,集团级或公共配置为空普通
sys_employeeEmployeecampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_employeeEmployeecreated_byBIGINT创建人账号 ID普通
sys_employeeEmployeecreated_atDATETIME创建时间普通
sys_employeeEmployeeupdated_byBIGINT最后更新人账号 ID普通
sys_employeeEmployeeupdated_atDATETIME最后更新时间普通
sys_employeeEmployeeis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_employeeEmployeedeleted_atDATETIME删除时间,未删除为空普通
sys_employeeEmployeedeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_employeeEmployeeversionINT乐观锁版本号,写操作必须校验普通
sys_employeeEmployeeemployee_noVARCHAR(64)工号,唯一普通
sys_employeeEmployeeuser_idBIGINT关联账号 ID普通
sys_employeeEmployeeemployee_nameVARCHAR(64)员工姓名普通
sys_employeeEmployeeprimary_campus_idBIGINT主校区 ID普通
sys_employeeEmployeejob_titleVARCHAR(64)岗位名称普通
sys_employeeEmployeehire_statusVARCHAR(32)在职/试用/离职/停用普通
sys_roleRoleidBIGINT主键,雪花或号段生成,禁止复用普通
sys_roleRoletenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_roleRoleorg_idBIGINT所属组织,集团级或公共配置为空普通
sys_roleRolecampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_roleRolecreated_byBIGINT创建人账号 ID普通
sys_roleRolecreated_atDATETIME创建时间普通
sys_roleRoleupdated_byBIGINT最后更新人账号 ID普通
sys_roleRoleupdated_atDATETIME最后更新时间普通
sys_roleRoleis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_roleRoledeleted_atDATETIME删除时间,未删除为空普通
sys_roleRoledeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_roleRoleversionINT乐观锁版本号,写操作必须校验普通
sys_roleRolerole_codeVARCHAR(64)角色编码,唯一普通
sys_roleRolerole_nameVARCHAR(128)角色名称普通
sys_roleRolerole_levelVARCHAR(32)总部/区域/校区/个人普通
sys_roleRoledata_scope_typeVARCHAR(32)数据范围类型普通
sys_roleRoleenabledTINYINT是否启用普通
sys_approval_flowApprovalFlowidBIGINT主键,雪花或号段生成,禁止复用普通
sys_approval_flowApprovalFlowtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_approval_flowApprovalFloworg_idBIGINT所属组织,集团级或公共配置为空普通
sys_approval_flowApprovalFlowcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_approval_flowApprovalFlowcreated_byBIGINT创建人账号 ID普通
sys_approval_flowApprovalFlowcreated_atDATETIME创建时间普通
sys_approval_flowApprovalFlowupdated_byBIGINT最后更新人账号 ID普通
sys_approval_flowApprovalFlowupdated_atDATETIME最后更新时间普通
sys_approval_flowApprovalFlowis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_approval_flowApprovalFlowdeleted_atDATETIME删除时间,未删除为空普通
sys_approval_flowApprovalFlowdeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_approval_flowApprovalFlowversionINT乐观锁版本号,写操作必须校验普通
sys_approval_flowApprovalFlowflow_codeVARCHAR(64)审批流编码,唯一普通
sys_approval_flowApprovalFlowbiz_typeVARCHAR(64)业务类型普通
sys_approval_flowApprovalFlowflow_nameVARCHAR(128)审批流名称普通
sys_approval_flowApprovalFlowcondition_jsonJSON触发条件普通
sys_approval_flowApprovalFlownode_jsonJSON节点、审批人和超时规则普通
sys_approval_flowApprovalFlowversion_noINT审批流版本号普通
sys_approval_flowApprovalFlowenabledTINYINT是否启用普通
sys_message_templateMessageTemplateidBIGINT主键,雪花或号段生成,禁止复用普通
sys_message_templateMessageTemplatetenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_message_templateMessageTemplateorg_idBIGINT所属组织,集团级或公共配置为空普通
sys_message_templateMessageTemplatecampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_message_templateMessageTemplatecreated_byBIGINT创建人账号 ID普通
sys_message_templateMessageTemplatecreated_atDATETIME创建时间普通
sys_message_templateMessageTemplateupdated_byBIGINT最后更新人账号 ID普通
sys_message_templateMessageTemplateupdated_atDATETIME最后更新时间普通
sys_message_templateMessageTemplateis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_message_templateMessageTemplatedeleted_atDATETIME删除时间,未删除为空普通
sys_message_templateMessageTemplatedeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_message_templateMessageTemplateversionINT乐观锁版本号,写操作必须校验普通
sys_message_templateMessageTemplatetemplate_codeVARCHAR(64)模板编码,唯一普通
sys_message_templateMessageTemplatetemplate_nameVARCHAR(128)模板名称普通
sys_message_templateMessageTemplatechannelVARCHAR(32)站内信/短信/微信小程序/企微/Push普通
sys_message_templateMessageTemplatereceiver_ruleJSON接收人规则普通
sys_message_templateMessageTemplatecontent_templateTEXT模板内容普通
sys_message_templateMessageTemplateenabledTINYINT是否启用普通
sys_audit_logAuditLogidBIGINT主键,雪花或号段生成,禁止复用普通
sys_audit_logAuditLogtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sys_audit_logAuditLogorg_idBIGINT所属组织,集团级或公共配置为空普通
sys_audit_logAuditLogcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sys_audit_logAuditLogcreated_byBIGINT创建人账号 ID普通
sys_audit_logAuditLogcreated_atDATETIME创建时间普通
sys_audit_logAuditLogupdated_byBIGINT最后更新人账号 ID普通
sys_audit_logAuditLogupdated_atDATETIME最后更新时间普通
sys_audit_logAuditLogis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sys_audit_logAuditLogdeleted_atDATETIME删除时间,未删除为空普通
sys_audit_logAuditLogdeleted_byBIGINT删除人账号 ID,未删除为空普通
sys_audit_logAuditLogversionINT乐观锁版本号,写操作必须校验普通
sys_audit_logAuditLogoperator_idBIGINT操作人 ID普通
sys_audit_logAuditLogbiz_typeVARCHAR(64)业务类型普通
sys_audit_logAuditLogbiz_idBIGINT业务主键 ID普通
sys_audit_logAuditLogaction_codeVARCHAR(64)操作编码普通
sys_audit_logAuditLogbefore_snapshotJSON变更前快照普通
sys_audit_logAuditLogafter_snapshotJSON变更后快照普通
sys_audit_logAuditLogip_addressVARCHAR(64)操作 IP普通
int_integration_logIntegrationLogidBIGINT主键,雪花或号段生成,禁止复用普通
int_integration_logIntegrationLogtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
int_integration_logIntegrationLogorg_idBIGINT所属组织,集团级或公共配置为空普通
int_integration_logIntegrationLogcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
int_integration_logIntegrationLogcreated_byBIGINT创建人账号 ID普通
int_integration_logIntegrationLogcreated_atDATETIME创建时间普通
int_integration_logIntegrationLogupdated_byBIGINT最后更新人账号 ID普通
int_integration_logIntegrationLogupdated_atDATETIME最后更新时间普通
int_integration_logIntegrationLogis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
int_integration_logIntegrationLogdeleted_atDATETIME删除时间,未删除为空普通
int_integration_logIntegrationLogdeleted_byBIGINT删除人账号 ID,未删除为空普通
int_integration_logIntegrationLogversionINT乐观锁版本号,写操作必须校验普通
int_integration_logIntegrationLogrequest_idVARCHAR(128)请求 ID,幂等键普通
int_integration_logIntegrationLogsystem_codeVARCHAR(64)外部系统编码普通
int_integration_logIntegrationLogapi_pathVARCHAR(512)接口路径普通
int_integration_logIntegrationLogbiz_typeVARCHAR(64)业务类型普通
int_integration_logIntegrationLogbiz_idBIGINT业务 ID普通
int_integration_logIntegrationLogrequest_payloadJSON请求报文,敏感字段脱敏敏感
int_integration_logIntegrationLogresponse_payloadJSON响应报文普通
int_integration_logIntegrationLogcall_statusVARCHAR(32)成功/失败/超时/重试中普通
crm_leadLeadidBIGINT主键,雪花或号段生成,禁止复用普通
crm_leadLeadtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
crm_leadLeadorg_idBIGINT所属组织,集团级或公共配置为空普通
crm_leadLeadcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
crm_leadLeadcreated_byBIGINT创建人账号 ID普通
crm_leadLeadcreated_atDATETIME创建时间普通
crm_leadLeadupdated_byBIGINT最后更新人账号 ID普通
crm_leadLeadupdated_atDATETIME最后更新时间普通
crm_leadLeadis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
crm_leadLeaddeleted_atDATETIME删除时间,未删除为空普通
crm_leadLeaddeleted_byBIGINT删除人账号 ID,未删除为空普通
crm_leadLeadversionINT乐观锁版本号,写操作必须校验普通
crm_leadLeadlead_noVARCHAR(64)线索编号,唯一普通
crm_leadLeadsource_channelVARCHAR(64)来源渠道普通
crm_leadLeadcampaign_idBIGINT来源活动 ID普通
crm_leadLeadguardian_mobileVARCHAR(32)家长手机号,敏感敏感
crm_leadLeadstudent_nameVARCHAR(64)学员姓名普通
crm_leadLeadintent_course_idBIGINT意向课程普通
crm_leadLeadowner_idBIGINT当前归属销售/顾问普通
crm_leadLeadprotect_untilDATETIME保护期截止时间普通
crm_leadLeadduplicate_statusVARCHAR(32)未查重/疑似重复/已合并/已忽略普通
crm_leadLeadbiz_statusVARCHAR(32)业务状态,取值来自状态机字典普通
crm_leadLeadremarkVARCHAR(512)业务备注,敏感内容按权限脱敏普通
con_contractContractidBIGINT主键,雪花或号段生成,禁止复用普通
con_contractContracttenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
con_contractContractorg_idBIGINT所属组织,集团级或公共配置为空普通
con_contractContractcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
con_contractContractcreated_byBIGINT创建人账号 ID普通
con_contractContractcreated_atDATETIME创建时间普通
con_contractContractupdated_byBIGINT最后更新人账号 ID普通
con_contractContractupdated_atDATETIME最后更新时间普通
con_contractContractis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
con_contractContractdeleted_atDATETIME删除时间,未删除为空普通
con_contractContractdeleted_byBIGINT删除人账号 ID,未删除为空普通
con_contractContractversionINT乐观锁版本号,写操作必须校验普通
con_contractContractcontract_noVARCHAR(64)合同编号,唯一普通
con_contractContractstudent_idBIGINT学员 ID普通
con_contractContractfamily_idBIGINT客户家庭 ID普通
con_contractContracttemplate_idBIGINT合同模板 ID普通
con_contractContractemployee_idBIGINT创建合同的销售/市场/课程顾问员工 ID普通
con_contractContractsource_terminalVARCHAR(32)来源终端,教师端 App/小程序或 PC 管理端普通
con_contractContractsimulation_idBIGINT关联优惠试算 ID普通
con_contractContractextra_discount_apply_idBIGINT关联额外折扣申请 ID普通
con_contractContracthand_sign_statusVARCHAR(32)待手写签字/已手写签字/签字作废普通
con_contractContractsign_statusVARCHAR(32)待家长签署/已手写签字/已作废普通
con_contractContractpayment_statusVARCHAR(32)待支付/支付中/支付成功/支付失败/已关闭普通
con_contractContractenterprise_seal_statusVARCHAR(32)未触发/盖章中/已盖章/盖章失败/已归档普通
con_contractContractcontract_statusVARCHAR(32)草稿/生效/履约中/已终止/已退费普通
con_contractContractsupervision_statusVARCHAR(32)监管报送状态普通
con_contractContractcurrencyVARCHAR(8)币种,默认 CNY普通
con_contractContractamountDECIMAL(18,2)含税金额,必须大于等于 0普通
con_contractContracttax_amountDECIMAL(18,2)税额,按发票或税率计算普通
con_contractContractapproval_statusVARCHAR(32)审批状态,未发起为空普通
con_contractContractapproval_instance_idBIGINT关联审批实例 ID普通
hr_payslipPayrollPayslipidBIGINT主键,雪花或号段生成,禁止复用普通
hr_payslipPayrollPaysliptenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
hr_payslipPayrollPaysliporg_idBIGINT所属组织,集团级或公共配置为空普通
hr_payslipPayrollPayslipcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
hr_payslipPayrollPayslipcreated_byBIGINT创建人账号 ID普通
hr_payslipPayrollPayslipcreated_atDATETIME创建时间普通
hr_payslipPayrollPayslipupdated_byBIGINT最后更新人账号 ID普通
hr_payslipPayrollPayslipupdated_atDATETIME最后更新时间普通
hr_payslipPayrollPayslipis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
hr_payslipPayrollPayslipdeleted_atDATETIME删除时间,未删除为空普通
hr_payslipPayrollPayslipdeleted_byBIGINT删除人账号 ID,未删除为空普通
hr_payslipPayrollPayslipversionINT乐观锁版本号,写操作必须校验普通
hr_payslipPayrollPayslippayslip_noVARCHAR(64)工资条编号,唯一普通
hr_payslipPayrollPayslipbatch_idBIGINT薪酬批次 ID普通
hr_payslipPayrollPayslipemployee_idBIGINT员工 ID普通
hr_payslipPayrollPayslipgross_salaryDECIMAL(18,2)应发工资普通
hr_payslipPayrollPayslipnet_salaryDECIMAL(18,2)实发工资普通
hr_payslipPayrollPayslipshow_social_insuranceTINYINT是否显示社保信息普通
hr_payslipPayrollPayslipshow_housing_fundTINYINT是否显示公积金信息普通
hr_payslipPayrollPayslipconfirm_statusVARCHAR(32)待确认/已确认/有异议普通
exp_invoiceInvoiceidBIGINT主键,雪花或号段生成,禁止复用普通
exp_invoiceInvoicetenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
exp_invoiceInvoiceorg_idBIGINT所属组织,集团级或公共配置为空普通
exp_invoiceInvoicecampus_idBIGINT所属校区,跨校区或总部级数据为空普通
exp_invoiceInvoicecreated_byBIGINT创建人账号 ID普通
exp_invoiceInvoicecreated_atDATETIME创建时间普通
exp_invoiceInvoiceupdated_byBIGINT最后更新人账号 ID普通
exp_invoiceInvoiceupdated_atDATETIME最后更新时间普通
exp_invoiceInvoiceis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
exp_invoiceInvoicedeleted_atDATETIME删除时间,未删除为空普通
exp_invoiceInvoicedeleted_byBIGINT删除人账号 ID,未删除为空普通
exp_invoiceInvoiceversionINT乐观锁版本号,写操作必须校验普通
exp_invoiceInvoiceinvoice_noVARCHAR(64)发票号码普通
exp_invoiceInvoiceinvoice_codeVARCHAR(64)发票代码普通
exp_invoiceInvoiceinvoice_typeVARCHAR(32)专票/普票/电子票/其他普通
exp_invoiceInvoiceseller_tax_noVARCHAR(64)销售方税号敏感
exp_invoiceInvoicebuyer_tax_noVARCHAR(64)购买方税号敏感
exp_invoiceInvoiceocr_resultJSONOCR 识别结果普通
exp_invoiceInvoiceduplicate_statusVARCHAR(32)未查重/重复/未重复普通
dev_face_personFacePersonidBIGINT主键,雪花或号段生成,禁止复用普通
dev_face_personFacePersontenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
dev_face_personFacePersonorg_idBIGINT所属组织,集团级或公共配置为空普通
dev_face_personFacePersoncampus_idBIGINT所属校区,跨校区或总部级数据为空普通
dev_face_personFacePersoncreated_byBIGINT创建人账号 ID普通
dev_face_personFacePersoncreated_atDATETIME创建时间普通
dev_face_personFacePersonupdated_byBIGINT最后更新人账号 ID普通
dev_face_personFacePersonupdated_atDATETIME最后更新时间普通
dev_face_personFacePersonis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
dev_face_personFacePersondeleted_atDATETIME删除时间,未删除为空普通
dev_face_personFacePersondeleted_byBIGINT删除人账号 ID,未删除为空普通
dev_face_personFacePersonversionINT乐观锁版本号,写操作必须校验普通
dev_face_personFacePersonperson_noVARCHAR(64)人员编号,唯一普通
dev_face_personFacePersonperson_typeVARCHAR(32)学员/教师/员工普通
dev_face_personFacePersonperson_idBIGINT业务人员 ID普通
dev_face_personFacePersonphoto_file_idBIGINT人脸照片文件 ID高敏
dev_face_personFacePersonvalid_untilDATETIME授权有效期普通
dev_face_personFacePersonsync_statusVARCHAR(32)待下发/已下发/失败/已撤销普通

JSON 字段结构与校验

表名对象字段结构编码结构定义校验规则示例
sec_permission_policyPermissionPolicyresource_policyPERMISSION_POLICY{menus:string[], buttons:string[], fields:{fieldCode:string, action:string}[], dataScope:object}权限变更写审计并刷新缓存{"menus":["CRM_LEAD"],"dataScope":{"scopeType":"SELF"}}
sec_permission_policyPermissionPolicyfield_policyPERMISSION_POLICY{menus:string[], buttons:string[], fields:{fieldCode:string, action:string}[], dataScope:object}权限变更写审计并刷新缓存{"menus":["CRM_LEAD"],"dataScope":{"scopeType":"SELF"}}
sec_sensitive_access_approvalSensitiveAccessApprovalfield_scopeORG_SCOPE{scopeType:string, orgIds:number[], campusIds:number[], includeChildren:boolean}组织和校区必须在当前租户授权范围内{"scopeType":"CAMPUS","campusIds":[101,102],"includeChildren":false}
sec_export_approvalExportApprovalfilter_snapshotAUDIT_SNAPSHOT{before?:object, after?:object, changedFields:string[], maskPolicy:string}敏感字段必须按脱敏策略写入,不允许存储明文密码或密钥{"changedFields":["owner_id"],"maskPolicy":"MOBILE_MASK"}
sec_high_risk_operationHighRiskOperationconfirm_payloadSUPERVISION_PAYLOAD{bizType:string, contractNo:string, amount:number, student:object, attachments:number[]}报送字段必须满足教育局/监管账户配置的必填规则{"bizType":"CONTRACT","contractNo":"DNC20260628001","amount":6800}
sec_backup_recordBackupRecordbackup_scopeBACKUP_SCOPE{databases:string[], tables:string[], retentionDays:number, encrypt:boolean}备份范围必须包含关键交易表和附件索引{"databases":["dinuo_core"],"retentionDays":30,"encrypt":true}

状态/枚举标准字典

表名对象字段枚举编码取值终态/流转规则字段说明
sec_permission_policyPermissionPolicytenant_idTENANT_ID集团、租户隔离字段非终态,可按状态机或字典规则流转集团/租户隔离字段,所有查询必须带租户上下文
sec_permission_policyPermissionPolicyis_deletedBOOL_DELETED0 未删除、1 已删除非终态,可按状态机或字典规则流转是否已删除,0 未删除,1 已删除
sec_permission_policyPermissionPolicyterminal_typeTERMINAL_TYPEPC_WEB、WECHAT_MINI_PROGRAM、IOS_APP、IPAD_APP、ANDROID_APP、ANDROID_TABLET、H5、MACOS_TAURI、WINDOWS_TAURI、MACOS_ELECTRON、WINDOWS_ELECTRON、ANDROID_TV、BIG_SCREEN非终态,可按状态机或字典规则流转PC/App/小程序/H5/TV/大屏
sec_permission_policyPermissionPolicyenabledENABLED_STATUS0 停用、1 启用非终态,可按状态机或字典规则流转是否启用
sec_sensitive_field_policySensitiveFieldPolicytenant_idTENANT_ID集团、租户隔离字段非终态,可按状态机或字典规则流转集团/租户隔离字段,所有查询必须带租户上下文
sec_sensitive_field_policySensitiveFieldPolicyis_deletedBOOL_DELETED0 未删除、1 已删除非终态,可按状态机或字典规则流转是否已删除,0 未删除,1 已删除
sec_sensitive_field_policySensitiveFieldPolicybiz_typeBIZ_TYPELEAD 线索、CUSTOMER 客户、CONTRACT 合同、ORDER 订单、PAYMENT 收款、REFUND 退费、LESSON 课次、CONSUMPTION 课消、EXPENSE 报销、VOUCHER 凭证、INVOICE 发票、LIVE 直播、PATROL 巡课、DEVICE 设备、MATERIAL 物料、PAYROLL 工资非终态,可按状态机或字典规则流转业务类型
sec_sensitive_access_approvalSensitiveAccessApprovaltenant_idTENANT_ID集团、租户隔离字段非终态,可按状态机或字典规则流转集团/租户隔离字段,所有查询必须带租户上下文
sec_sensitive_access_approvalSensitiveAccessApprovalis_deletedBOOL_DELETED0 未删除、1 已删除非终态,可按状态机或字典规则流转是否已删除,0 未删除,1 已删除
sec_sensitive_access_approvalSensitiveAccessApprovalbiz_typeBIZ_TYPELEAD 线索、CUSTOMER 客户、CONTRACT 合同、ORDER 订单、PAYMENT 收款、REFUND 退费、LESSON 课次、CONSUMPTION 课消、EXPENSE 报销、VOUCHER 凭证、INVOICE 发票、LIVE 直播、PATROL 巡课、DEVICE 设备、MATERIAL 物料、PAYROLL 工资非终态,可按状态机或字典规则流转业务类型
sec_sensitive_access_approvalSensitiveAccessApprovalfield_scopeFIELD_SCOPEMOBILE 手机号、ID_CARD 身份证号、FACE_PHOTO 人脸照片、PAYROLL 工资字段、INVOICE 发票字段、CONTRACT 合同附件、BANK_ACCOUNT 银行账号非终态,可按状态机或字典规则流转申请查看字段
sec_sensitive_access_approvalSensitiveAccessApprovalapproval_statusAPPROVAL_STATUSNOT_STARTED 未发起、PENDING 审批中、APPROVED 已通过、REJECTED 已驳回、REVOKED 已撤回非终态,可按状态机或字典规则流转审批状态,未发起为空
sec_export_approvalExportApprovaltenant_idTENANT_ID集团、租户隔离字段非终态,可按状态机或字典规则流转集团/租户隔离字段,所有查询必须带租户上下文
sec_export_approvalExportApprovalis_deletedBOOL_DELETED0 未删除、1 已删除非终态,可按状态机或字典规则流转是否已删除,0 未删除,1 已删除
sec_export_approvalExportApprovalexport_biz_typeEXPORT_BIZ_TYPELEAD_EXPORT 线索导出、CUSTOMER_EXPORT 客户导出、CONTRACT_EXPORT 合同导出、FINANCE_EXPORT 财务导出、PAYROLL_EXPORT 工资导出、AUDIT_EXPORT 审计导出非终态,可按状态机或字典规则流转导出业务类型
sec_export_approvalExportApprovalapproval_statusAPPROVAL_STATUSNOT_STARTED 未发起、PENDING 审批中、APPROVED 已通过、REJECTED 已驳回、REVOKED 已撤回非终态,可按状态机或字典规则流转审批状态,未发起为空
sec_high_risk_operationHighRiskOperationtenant_idTENANT_ID集团、租户隔离字段非终态,可按状态机或字典规则流转集团/租户隔离字段,所有查询必须带租户上下文
sec_high_risk_operationHighRiskOperationis_deletedBOOL_DELETED0 未删除、1 已删除非终态,可按状态机或字典规则流转是否已删除,0 未删除,1 已删除
sec_high_risk_operationHighRiskOperationoperation_typeOPERATION_TYPE删除、作废、红冲、批量导出、权限变更非终态,可按状态机或字典规则流转删除/作废/红冲/批量导出/权限变更
sec_high_risk_operationHighRiskOperationbiz_typeBIZ_TYPELEAD 线索、CUSTOMER 客户、CONTRACT 合同、ORDER 订单、PAYMENT 收款、REFUND 退费、LESSON 课次、CONSUMPTION 课消、EXPENSE 报销、VOUCHER 凭证、INVOICE 发票、LIVE 直播、PATROL 巡课、DEVICE 设备、MATERIAL 物料、PAYROLL 工资非终态,可按状态机或字典规则流转业务类型
sec_high_risk_operationHighRiskOperationoperation_statusOPERATION_STATUS待确认、已执行、已取消、失败包含终态,终态禁止直接编辑,需走变更/红冲/撤回流程待确认/已执行/已取消/失败
sec_backup_recordBackupRecordtenant_idTENANT_ID集团、租户隔离字段非终态,可按状态机或字典规则流转集团/租户隔离字段,所有查询必须带租户上下文
sec_backup_recordBackupRecordis_deletedBOOL_DELETED0 未删除、1 已删除非终态,可按状态机或字典规则流转是否已删除,0 未删除,1 已删除
sec_backup_recordBackupRecordbackup_scopeBACKUP_SCOPEFULL_DATABASE 全库、CORE_TABLE 核心表、LOG_TABLE 日志表、FILE_INDEX 附件索引、CONFIG_ONLY 配置数据非终态,可按状态机或字典规则流转备份范围
sec_backup_recordBackupRecordbackup_statusBACKUP_STATUS进行中、成功、失败、已过期包含终态,终态禁止直接编辑,需走变更/红冲/撤回流程进行中/成功/失败/已过期

敏感字段与数据安全策略

来源表名对象字段数据级别脱敏/返回策略明文查看条件导出策略审计要求端侧展示规则
本模块对象sec_sensitive_field_policySensitiveFieldPolicymask_rule普通BIZ_FIELD_MASK按字段权限、数据范围和业务角色展示;明文查看按敏感字段审批规则执行导出时按数据级别触发审批、水印、下载有效期和日志查看、修改、删除、导出、下载和审批均记录操作审计默认遵循总部、区域、校区、团队、本人数据范围和端侧最小可见原则
本模块对象sec_sensitive_access_approvalSensitiveAccessApprovalexpire_at普通BIZ_FIELD_MASK按字段权限、数据范围和业务角色展示;明文查看按敏感字段审批规则执行导出时按数据级别触发审批、水印、下载有效期和日志查看、修改、删除、导出、下载和审批均记录操作审计默认遵循总部、区域、校区、团队、本人数据范围和端侧最小可见原则
本模块对象sec_high_risk_operationHighRiskOperationconfirm_payload普通PAYLOAD_DESENSITIZE接口报文、快照和文件地址默认脱敏;排障查看需运维/安全授权导出日志或报文时自动清理手机号、证件号、密钥、票据和人脸字段查看报文、下载附件、失败重放和人工补偿均记录审计业务端展示摘要和状态,完整报文仅运维/安全后台查看
引用对象sys_userUser/Employeemobile敏感MOBILE_MASK默认展示 138****0000;明文查看需字段权限或敏感字段查看审批导出手机号必须触发导出审批、下载水印和有效期控制明文查看、复制、导出和批量下载均写入 SensitiveAccessLogPC 管理端按字段权限展示;移动端仅展示本人授权范围内脱敏信息
引用对象sys_userUser/Employeepassword_hash高敏NEVER_RETURN禁止接口返回明文;仅密钥中心/鉴权服务按服务身份读取密钥引用禁止导出;配置导出只允许导出脱敏引用和启停状态配置新增、修改、启停、轮换和失败读取均记录安全审计前端只展示已配置/未配置、到期时间和连通性状态,不展示密钥值
引用对象int_integration_logIntegrationLogrequest_payload敏感PAYLOAD_DESENSITIZE接口报文、快照和文件地址默认脱敏;排障查看需运维/安全授权导出日志或报文时自动清理手机号、证件号、密钥、票据和人脸字段查看报文、下载附件、失败重放和人工补偿均记录审计业务端展示摘要和状态,完整报文仅运维/安全后台查看
引用对象int_integration_logIntegrationLogresponse_payload普通PAYLOAD_DESENSITIZE接口报文、快照和文件地址默认脱敏;排障查看需运维/安全授权导出日志或报文时自动清理手机号、证件号、密钥、票据和人脸字段查看报文、下载附件、失败重放和人工补偿均记录审计业务端展示摘要和状态,完整报文仅运维/安全后台查看
引用对象crm_leadLeadguardian_mobile敏感MOBILE_MASK默认展示 138****0000;明文查看需字段权限或敏感字段查看审批导出手机号必须触发导出审批、下载水印和有效期控制明文查看、复制、导出和批量下载均写入 SensitiveAccessLogPC 管理端按字段权限展示;移动端仅展示本人授权范围内脱敏信息
引用对象crm_leadLeadremark普通BIZ_FIELD_MASK按字段权限、数据范围和业务角色展示;明文查看按敏感字段审批规则执行导出时按数据级别触发审批、水印、下载有效期和日志查看、修改、删除、导出、下载和审批均记录操作审计默认遵循总部、区域、校区、团队、本人数据范围和端侧最小可见原则
引用对象con_contractContracttax_amount普通TAX_INVOICE_MASK默认按税号/发票号局部脱敏;发票原图、OCR 结果和国税回执按财务权限查看财务导出需审批并加水印;国税官方回执随业务单归档OCR、核验、查重、人工校正、导出和付款阻断均留痕移动端可上传和查看本人报销结果,不展示其他人员票据明文
引用对象hr_payslipPayrollPayslippayslip_no普通PAYROLL_MASK默认仅本人和授权人力/财务可见;社保、公积金字段按后台开关展示工资条批量导出必须走高敏审批并限制下载次数发布、撤回、重发、查看、确认、异议、导出全链路审计教师/员工端仅查看本人电子工资条;PC 按岗位与审批展示
引用对象hr_payslipPayrollPayslipgross_salary普通PAYROLL_MASK默认仅本人和授权人力/财务可见;社保、公积金字段按后台开关展示工资条批量导出必须走高敏审批并限制下载次数发布、撤回、重发、查看、确认、异议、导出全链路审计教师/员工端仅查看本人电子工资条;PC 按岗位与审批展示
引用对象hr_payslipPayrollPayslipnet_salary普通PAYROLL_MASK默认仅本人和授权人力/财务可见;社保、公积金字段按后台开关展示工资条批量导出必须走高敏审批并限制下载次数发布、撤回、重发、查看、确认、异议、导出全链路审计教师/员工端仅查看本人电子工资条;PC 按岗位与审批展示
引用对象exp_invoiceInvoiceinvoice_no普通TAX_INVOICE_MASK默认按税号/发票号局部脱敏;发票原图、OCR 结果和国税回执按财务权限查看财务导出需审批并加水印;国税官方回执随业务单归档OCR、核验、查重、人工校正、导出和付款阻断均留痕移动端可上传和查看本人报销结果,不展示其他人员票据明文
引用对象exp_invoiceInvoiceinvoice_code普通TAX_INVOICE_MASK默认按税号/发票号局部脱敏;发票原图、OCR 结果和国税回执按财务权限查看财务导出需审批并加水印;国税官方回执随业务单归档OCR、核验、查重、人工校正、导出和付款阻断均留痕移动端可上传和查看本人报销结果,不展示其他人员票据明文
引用对象exp_invoiceInvoiceinvoice_type普通TAX_INVOICE_MASK默认按税号/发票号局部脱敏;发票原图、OCR 结果和国税回执按财务权限查看财务导出需审批并加水印;国税官方回执随业务单归档OCR、核验、查重、人工校正、导出和付款阻断均留痕移动端可上传和查看本人报销结果,不展示其他人员票据明文
引用对象exp_invoiceInvoiceseller_tax_no敏感TAX_INVOICE_MASK默认按税号/发票号局部脱敏;发票原图、OCR 结果和国税回执按财务权限查看财务导出需审批并加水印;国税官方回执随业务单归档OCR、核验、查重、人工校正、导出和付款阻断均留痕移动端可上传和查看本人报销结果,不展示其他人员票据明文
引用对象exp_invoiceInvoicebuyer_tax_no敏感TAX_INVOICE_MASK默认按税号/发票号局部脱敏;发票原图、OCR 结果和国税回执按财务权限查看财务导出需审批并加水印;国税官方回执随业务单归档OCR、核验、查重、人工校正、导出和付款阻断均留痕移动端可上传和查看本人报销结果,不展示其他人员票据明文
引用对象dev_face_personFacePersonphoto_file_id高敏FACE_IMAGE_PROTECTED默认只返回受控文件 ID/缩略图;人脸照片查看、下发、删除需授权和审计禁止常规导出;仅设备下发、授权撤回和合规取证场景允许人脸采集、下发、识别、撤回、删除、失败重试全链路留痕未授权端不展示原图;设备端按任务有效期拉取
引用对象dev_face_personFacePersonvalid_until普通BIZ_FIELD_MASK按字段权限、数据范围和业务角色展示;明文查看按敏感字段审批规则执行导出时按数据级别触发审批、水印、下载有效期和日志查看、修改、删除、导出、下载和审批均记录操作审计默认遵循总部、区域、校区、团队、本人数据范围和端侧最小可见原则

核心数据表完整字段

表名对象字段类型必填规则数据级别
sec_permission_policyPermissionPolicyidBIGINT主键,雪花或号段生成,禁止复用普通
sec_permission_policyPermissionPolicytenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sec_permission_policyPermissionPolicyorg_idBIGINT所属组织,集团级或公共配置为空普通
sec_permission_policyPermissionPolicycampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sec_permission_policyPermissionPolicycreated_byBIGINT创建人账号 ID普通
sec_permission_policyPermissionPolicycreated_atDATETIME创建时间普通
sec_permission_policyPermissionPolicyupdated_byBIGINT最后更新人账号 ID普通
sec_permission_policyPermissionPolicyupdated_atDATETIME最后更新时间普通
sec_permission_policyPermissionPolicyis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sec_permission_policyPermissionPolicydeleted_atDATETIME删除时间,未删除为空普通
sec_permission_policyPermissionPolicydeleted_byBIGINT删除人账号 ID,未删除为空普通
sec_permission_policyPermissionPolicyversionINT乐观锁版本号,写操作必须校验普通
sec_permission_policyPermissionPolicypolicy_codeVARCHAR(64)策略编码,唯一普通
sec_permission_policyPermissionPolicyrole_idBIGINT角色 ID普通
sec_permission_policyPermissionPolicyterminal_typeVARCHAR(32)PC/App/小程序/H5/TV/大屏普通
sec_permission_policyPermissionPolicyresource_policyJSON资源权限配置普通
sec_permission_policyPermissionPolicyfield_policyJSON字段权限配置普通
sec_permission_policyPermissionPolicyenabledTINYINT是否启用普通
sec_sensitive_field_policySensitiveFieldPolicyidBIGINT主键,雪花或号段生成,禁止复用普通
sec_sensitive_field_policySensitiveFieldPolicytenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sec_sensitive_field_policySensitiveFieldPolicyorg_idBIGINT所属组织,集团级或公共配置为空普通
sec_sensitive_field_policySensitiveFieldPolicycampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sec_sensitive_field_policySensitiveFieldPolicycreated_byBIGINT创建人账号 ID普通
sec_sensitive_field_policySensitiveFieldPolicycreated_atDATETIME创建时间普通
sec_sensitive_field_policySensitiveFieldPolicyupdated_byBIGINT最后更新人账号 ID普通
sec_sensitive_field_policySensitiveFieldPolicyupdated_atDATETIME最后更新时间普通
sec_sensitive_field_policySensitiveFieldPolicyis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sec_sensitive_field_policySensitiveFieldPolicydeleted_atDATETIME删除时间,未删除为空普通
sec_sensitive_field_policySensitiveFieldPolicydeleted_byBIGINT删除人账号 ID,未删除为空普通
sec_sensitive_field_policySensitiveFieldPolicyversionINT乐观锁版本号,写操作必须校验普通
sec_sensitive_field_policySensitiveFieldPolicyfield_codeVARCHAR(128)字段编码,唯一普通
sec_sensitive_field_policySensitiveFieldPolicybiz_typeVARCHAR(64)业务类型普通
sec_sensitive_field_policySensitiveFieldPolicymask_ruleVARCHAR(64)脱敏规则普通
sec_sensitive_field_policySensitiveFieldPolicyview_requires_approvalTINYINT明文查看是否需审批普通
sec_sensitive_field_policySensitiveFieldPolicywatermark_requiredTINYINT是否加水印普通
sec_sensitive_access_approvalSensitiveAccessApprovalidBIGINT主键,雪花或号段生成,禁止复用普通
sec_sensitive_access_approvalSensitiveAccessApprovaltenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sec_sensitive_access_approvalSensitiveAccessApprovalorg_idBIGINT所属组织,集团级或公共配置为空普通
sec_sensitive_access_approvalSensitiveAccessApprovalcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sec_sensitive_access_approvalSensitiveAccessApprovalcreated_byBIGINT创建人账号 ID普通
sec_sensitive_access_approvalSensitiveAccessApprovalcreated_atDATETIME创建时间普通
sec_sensitive_access_approvalSensitiveAccessApprovalupdated_byBIGINT最后更新人账号 ID普通
sec_sensitive_access_approvalSensitiveAccessApprovalupdated_atDATETIME最后更新时间普通
sec_sensitive_access_approvalSensitiveAccessApprovalis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sec_sensitive_access_approvalSensitiveAccessApprovaldeleted_atDATETIME删除时间,未删除为空普通
sec_sensitive_access_approvalSensitiveAccessApprovaldeleted_byBIGINT删除人账号 ID,未删除为空普通
sec_sensitive_access_approvalSensitiveAccessApprovalversionINT乐观锁版本号,写操作必须校验普通
sec_sensitive_access_approvalSensitiveAccessApprovalrequest_noVARCHAR(64)申请编号,唯一普通
sec_sensitive_access_approvalSensitiveAccessApprovalapplicant_idBIGINT申请人 ID普通
sec_sensitive_access_approvalSensitiveAccessApprovalbiz_typeVARCHAR(64)业务类型普通
sec_sensitive_access_approvalSensitiveAccessApprovalbiz_idBIGINT业务 ID普通
sec_sensitive_access_approvalSensitiveAccessApprovalfield_scopeJSON申请查看字段普通
sec_sensitive_access_approvalSensitiveAccessApprovalaccess_reasonVARCHAR(512)查看原因普通
sec_sensitive_access_approvalSensitiveAccessApprovalexpire_atDATETIME授权过期时间普通
sec_sensitive_access_approvalSensitiveAccessApprovalapproval_statusVARCHAR(32)审批状态,未发起为空普通
sec_sensitive_access_approvalSensitiveAccessApprovalapproval_instance_idBIGINT关联审批实例 ID普通
sec_export_approvalExportApprovalidBIGINT主键,雪花或号段生成,禁止复用普通
sec_export_approvalExportApprovaltenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sec_export_approvalExportApprovalorg_idBIGINT所属组织,集团级或公共配置为空普通
sec_export_approvalExportApprovalcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sec_export_approvalExportApprovalcreated_byBIGINT创建人账号 ID普通
sec_export_approvalExportApprovalcreated_atDATETIME创建时间普通
sec_export_approvalExportApprovalupdated_byBIGINT最后更新人账号 ID普通
sec_export_approvalExportApprovalupdated_atDATETIME最后更新时间普通
sec_export_approvalExportApprovalis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sec_export_approvalExportApprovaldeleted_atDATETIME删除时间,未删除为空普通
sec_export_approvalExportApprovaldeleted_byBIGINT删除人账号 ID,未删除为空普通
sec_export_approvalExportApprovalversionINT乐观锁版本号,写操作必须校验普通
sec_export_approvalExportApprovalexport_noVARCHAR(64)导出编号,唯一普通
sec_export_approvalExportApprovalapplicant_idBIGINT申请人 ID普通
sec_export_approvalExportApprovalexport_biz_typeVARCHAR(64)导出业务类型普通
sec_export_approvalExportApprovalfilter_snapshotJSON导出筛选条件快照普通
sec_export_approvalExportApprovalfile_idBIGINT导出文件 ID普通
sec_export_approvalExportApprovaldownload_expire_atDATETIME下载过期时间普通
sec_export_approvalExportApprovalapproval_statusVARCHAR(32)审批状态,未发起为空普通
sec_export_approvalExportApprovalapproval_instance_idBIGINT关联审批实例 ID普通
sec_high_risk_operationHighRiskOperationidBIGINT主键,雪花或号段生成,禁止复用普通
sec_high_risk_operationHighRiskOperationtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sec_high_risk_operationHighRiskOperationorg_idBIGINT所属组织,集团级或公共配置为空普通
sec_high_risk_operationHighRiskOperationcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sec_high_risk_operationHighRiskOperationcreated_byBIGINT创建人账号 ID普通
sec_high_risk_operationHighRiskOperationcreated_atDATETIME创建时间普通
sec_high_risk_operationHighRiskOperationupdated_byBIGINT最后更新人账号 ID普通
sec_high_risk_operationHighRiskOperationupdated_atDATETIME最后更新时间普通
sec_high_risk_operationHighRiskOperationis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sec_high_risk_operationHighRiskOperationdeleted_atDATETIME删除时间,未删除为空普通
sec_high_risk_operationHighRiskOperationdeleted_byBIGINT删除人账号 ID,未删除为空普通
sec_high_risk_operationHighRiskOperationversionINT乐观锁版本号,写操作必须校验普通
sec_high_risk_operationHighRiskOperationoperation_noVARCHAR(64)操作编号,唯一普通
sec_high_risk_operationHighRiskOperationoperator_idBIGINT操作人 ID普通
sec_high_risk_operationHighRiskOperationoperation_typeVARCHAR(64)删除/作废/红冲/批量导出/权限变更普通
sec_high_risk_operationHighRiskOperationbiz_typeVARCHAR(64)业务类型普通
sec_high_risk_operationHighRiskOperationbiz_idBIGINT业务 ID普通
sec_high_risk_operationHighRiskOperationconfirm_payloadJSON二次确认内容普通
sec_high_risk_operationHighRiskOperationoperation_statusVARCHAR(32)待确认/已执行/已取消/失败普通
sec_backup_recordBackupRecordidBIGINT主键,雪花或号段生成,禁止复用普通
sec_backup_recordBackupRecordtenant_idBIGINT集团/租户隔离字段,所有查询必须带租户上下文普通
sec_backup_recordBackupRecordorg_idBIGINT所属组织,集团级或公共配置为空普通
sec_backup_recordBackupRecordcampus_idBIGINT所属校区,跨校区或总部级数据为空普通
sec_backup_recordBackupRecordcreated_byBIGINT创建人账号 ID普通
sec_backup_recordBackupRecordcreated_atDATETIME创建时间普通
sec_backup_recordBackupRecordupdated_byBIGINT最后更新人账号 ID普通
sec_backup_recordBackupRecordupdated_atDATETIME最后更新时间普通
sec_backup_recordBackupRecordis_deletedTINYINT是否已删除,0 未删除,1 已删除普通
sec_backup_recordBackupRecorddeleted_atDATETIME删除时间,未删除为空普通
sec_backup_recordBackupRecorddeleted_byBIGINT删除人账号 ID,未删除为空普通
sec_backup_recordBackupRecordversionINT乐观锁版本号,写操作必须校验普通
sec_backup_recordBackupRecordbackup_noVARCHAR(64)备份编号,唯一普通
sec_backup_recordBackupRecordbackup_scopeJSON备份范围普通
sec_backup_recordBackupRecordstorage_locationVARCHAR(512)备份存储位置普通
sec_backup_recordBackupRecordbackup_started_atDATETIME开始时间普通
sec_backup_recordBackupRecordbackup_finished_atDATETIME结束时间普通
sec_backup_recordBackupRecordbackup_statusVARCHAR(32)进行中/成功/失败/已过期普通

数据表与对象映射

表名对象用途完整字段索引建议
sec_permission_policyPermissionPolicy菜单、按钮、字段和接口权限策略id(BIGINT,必填)、tenant_id(BIGINT,必填)、org_id(BIGINT)、campus_id(BIGINT)、created_by(BIGINT,必填)、created_at(DATETIME,必填)、updated_by(BIGINT)、updated_at(DATETIME)、is_deleted(TINYINT,必填)、deleted_at(DATETIME)、deleted_by(BIGINT)、version(INT,必填)、policy_code(VARCHAR(64),必填)、role_id(BIGINT,必填)、terminal_type(VARCHAR(32),必填)、resource_policy(JSON,必填)、field_policy(JSON)、enabled(TINYINT,必填)uk_policy_code、idx_role_terminal
sec_sensitive_field_policySensitiveFieldPolicy敏感字段脱敏策略id(BIGINT,必填)、tenant_id(BIGINT,必填)、org_id(BIGINT)、campus_id(BIGINT)、created_by(BIGINT,必填)、created_at(DATETIME,必填)、updated_by(BIGINT)、updated_at(DATETIME)、is_deleted(TINYINT,必填)、deleted_at(DATETIME)、deleted_by(BIGINT)、version(INT,必填)、field_code(VARCHAR(128),必填)、biz_type(VARCHAR(64),必填)、mask_rule(VARCHAR(64),必填)、view_requires_approval(TINYINT,必填)、watermark_required(TINYINT,必填)uk_field_code、idx_biz
sec_sensitive_access_approvalSensitiveAccessApproval敏感数据查看审批id(BIGINT,必填)、tenant_id(BIGINT,必填)、org_id(BIGINT)、campus_id(BIGINT)、created_by(BIGINT,必填)、created_at(DATETIME,必填)、updated_by(BIGINT)、updated_at(DATETIME)、is_deleted(TINYINT,必填)、deleted_at(DATETIME)、deleted_by(BIGINT)、version(INT,必填)、request_no(VARCHAR(64),必填)、applicant_id(BIGINT,必填)、biz_type(VARCHAR(64),必填)、biz_id(BIGINT,必填)、field_scope(JSON,必填)、access_reason(VARCHAR(512),必填)、expire_at(DATETIME)、approval_status(VARCHAR(32))、approval_instance_id(BIGINT)uk_request_no、idx_status
sec_export_approvalExportApproval敏感数据导出审批id(BIGINT,必填)、tenant_id(BIGINT,必填)、org_id(BIGINT)、campus_id(BIGINT)、created_by(BIGINT,必填)、created_at(DATETIME,必填)、updated_by(BIGINT)、updated_at(DATETIME)、is_deleted(TINYINT,必填)、deleted_at(DATETIME)、deleted_by(BIGINT)、version(INT,必填)、export_no(VARCHAR(64),必填)、applicant_id(BIGINT,必填)、export_biz_type(VARCHAR(64),必填)、filter_snapshot(JSON,必填)、file_id(BIGINT)、download_expire_at(DATETIME)、approval_status(VARCHAR(32))、approval_instance_id(BIGINT)uk_export_no、idx_status
sec_high_risk_operationHighRiskOperation高危操作留痕与二次确认id(BIGINT,必填)、tenant_id(BIGINT,必填)、org_id(BIGINT)、campus_id(BIGINT)、created_by(BIGINT,必填)、created_at(DATETIME,必填)、updated_by(BIGINT)、updated_at(DATETIME)、is_deleted(TINYINT,必填)、deleted_at(DATETIME)、deleted_by(BIGINT)、version(INT,必填)、operation_no(VARCHAR(64),必填)、operator_id(BIGINT,必填)、operation_type(VARCHAR(64),必填)、biz_type(VARCHAR(64),必填)、biz_id(BIGINT)、confirm_payload(JSON)、operation_status(VARCHAR(32),必填)uk_operation_no、idx_operator_type
sec_backup_recordBackupRecord数据备份与恢复记录id(BIGINT,必填)、tenant_id(BIGINT,必填)、org_id(BIGINT)、campus_id(BIGINT)、created_by(BIGINT,必填)、created_at(DATETIME,必填)、updated_by(BIGINT)、updated_at(DATETIME)、is_deleted(TINYINT,必填)、deleted_at(DATETIME)、deleted_by(BIGINT)、version(INT,必填)、backup_no(VARCHAR(64),必填)、backup_scope(JSON,必填)、storage_location(VARCHAR(512),必填)、backup_started_at(DATETIME,必填)、backup_finished_at(DATETIME)、backup_status(VARCHAR(32),必填)uk_backup_no、idx_status

12 · 状态机与业务规则

约束业务对象如何流转、何时可编辑、何时触发审批

原型需要把状态标签、可操作按钮和禁用原因展示清楚。
对象状态触发与说明
线索新建 -> 已分配 -> 跟进中 -> 已邀约 -> 已试听 -> 待签约 -> 已成交 -> 已流失顾问跟进、试听反馈、合同创建、流失原因
合同草稿 -> 待审批 -> 待签署 -> 已签署 -> 已备案 -> 已收款 -> 履约中 -> 已结课 -> 已退费 -> 已作废优惠审批、电子签、监管备案、收款、课消、退费
人脸授权未授权 -> 待采集 -> 已授权 -> 已下发 -> 撤回中 -> 已撤回 -> 已删除家长授权、照片采集、设备下发、撤回授权
监管报送待生成 -> 待报送 -> 报送中 -> 成功 -> 失败 -> 待重报 -> 人工处理合同备案、收款、课消、退费报送与回执
退费单草稿 -> 待学管确认 -> 待校长审批 -> 待财务复核 -> 监管退款中 -> 已退款 -> 已驳回 -> 已取消退费测算、审批、退款回执和凭证冲销
报销单草稿 -> 待 OCR -> 待核验 -> 待审批 -> 已通过 -> 待付款 -> 已付款 -> 已驳回 -> 已作废员工填单、票据识别、发票核验、查重、审批、付款归档
作业草稿无草稿 -> 编辑中 -> 自动保存中 -> 已保存 -> 待提交 -> 已提交 -> 已删除 -> 已过期 -> 冲突待恢复学员进入作业后可自动或手动保存草稿,提交成功后关闭草稿;删除、过期和多端冲突必须可提示、可审计、可恢复到安全状态
电子工资条待生成 -> 待审核 -> 待发布 -> 已发布 -> 员工已查看 -> 异议中 -> 已确认 -> 已归档薪资核算、审批、发布、员工查看确认、异议处理和归档
人脸授权撤回已提交 -> 家长已确认 -> 设备删除中 -> 部分失败 -> 已删除 -> 人工处理 -> 已关闭家长撤回、人脸模板删除任务、设备回执、失败重试和审计
敏感字段查看待审批 -> 已授权 -> 已查看 -> 已过期 -> 已撤回 -> 已驳回敏感字段明文查看申请、审批、限时授权、水印和审计
合同补充协议草稿 -> 待审批 -> 待签署 -> 待备案 -> 已生效 -> 已驳回 -> 已作废合同变更、补充协议、作废重签、监管备案和财务调整
工资条撤回重发已发布 -> 撤回中 -> 已撤回 -> 重发待审核 -> 已重发 -> 待重新确认 -> 已确认 -> 已归档工资条发布错误后撤回、重发、员工重新确认和版本留痕
付款失败补偿付款失败 -> 待重试 -> 重试中 -> 换账户中 -> 撤销审批中 -> 线下付款登记 -> 已补偿 -> 人工关闭报销、采购、退款、工资付款失败后的统一补偿
教师端工作台任务待处理 -> 处理中 -> 已完成 -> 已驳回 -> 已超时 -> 已取消课程、批改、审批、培训、报销、工资条和直播任务统一进入工作台待办,并按业务模块回写处理状态。
唯一性校验

安全合规中心涉及该规则时,必须在前端提示、后端校验、审计日志和测试用例中同时覆盖。

跨校区数据隔离

安全合规中心涉及该规则时,必须在前端提示、后端校验、审计日志和测试用例中同时覆盖。

敏感操作留痕

安全合规中心涉及该规则时,必须在前端提示、后端校验、审计日志和测试用例中同时覆盖。

外部接口幂等

安全合规中心涉及该规则时,必须在前端提示、后端校验、审计日志和测试用例中同时覆盖。

批量失败明细

安全合规中心涉及该规则时,必须在前端提示、后端校验、审计日志和测试用例中同时覆盖。

状态回退审批

安全合规中心涉及该规则时,必须在前端提示、后端校验、审计日志和测试用例中同时覆盖。

13 · 权限、审批与消息

动作权限、数据范围、审批触发和消息触达必须闭环

权限需要覆盖菜单、按钮、字段、接口和导出。

动作权限

  • 配置分级:需映射菜单、按钮、接口和字段权限
  • 字段脱敏:需映射菜单、按钮、接口和字段权限
  • 明文查看审批:需映射菜单、按钮、接口和字段权限
  • 临时授权:需映射菜单、按钮、接口和字段权限
  • 导出审批:需映射菜单、按钮、接口和字段权限
  • 授权撤回:需映射菜单、按钮、接口和字段权限
  • 审计查询:需映射菜单、按钮、接口和字段权限
  • 备份恢复:需映射菜单、按钮、接口和字段权限

数据范围

  • 总部全量
  • 区域辖区
  • 校区本地
  • 部门/岗位
  • 本人负责
  • 授权班级/学员

审批配置

审批名称触发条件流程结果留痕
合同优惠审批折扣低于总部配置阈值或赠课超过上限顾问提交 -> 销售主管 -> 校长 -> 财务抄送通过后合同可签署,驳回后返回报价草稿保留优惠前后金额和审批意见
退费审批任意退费或转课产生金额冲减学管师确认 -> 校长审批 -> 财务复核通过后进入监管退款,驳回后关闭退费单保留测算明细、附件和退款回执
报销审批员工提交费用报销或发票查重命中风险员工提交 -> 部门主管 -> 校长/预算负责人 -> 财务复核通过后进入付款,驳回后返回报销人修改保留票据影像、OCR 结果、核验结果、查重结果和审批意见
账套反结账审批已结账期间需要反结账或更正税务资料校区财务提交 -> 总部财务复核 -> 财务负责人终审通过后解锁期间并记录调整原因保留反结账前后凭证、税表和审批说明
物料采购审批采购金额超过阈值、跨校区采购或固定资产采购申请人 -> 校区负责人 -> 采购/财务 -> 总部审批通过后生成采购订单和到货验收任务保留预算、供应商、报价和采购合同附件
固定资产报废审批固定资产、图书或高价值物料需要报废责任人提交 -> 校区负责人 -> 资产管理员 -> 财务复核通过后出库、报废并生成财务核销记录保留照片、盘点记录、处置说明和残值
转校审批学员权益跨校区转移原校区校长 -> 目标校区校长 -> 财务确认权益和服务归属迁移记录转出转入校区和余额
合同作废审批已签署或已收款合同作废顾问提交 -> 校长 -> 财务合同作废并回滚相关权益保留作废原因和关联订单

消息模板

消息接收人触发渠道变量
电子合同待签署家长合同生成后短信、小程序、H5合同名称、金额、签署链接、有效期
收款成功通知家长/顾问/财务支付成功小程序、站内信订单金额、课程、支付时间
报销审批提醒审批人/财务报销单提交、超时或驳回后重提站内信、App、企微报销人、费用类型、金额、票据风险、审批入口
发票重复预警报销人/财务发票查重命中疑似重复站内信、App发票号码、金额、历史报销单、风险等级
到校签到通知家长人脸或人工签到成功小程序、App学员姓名、签到时间、校区、课程
退费审批提醒校长/财务退费单提交站内信、App合同编号、测算金额、申请原因
监管失败告警财务/系统管理员监管接口返回失败站内信、短信业务单号、失败原因、重试入口
数据导出审批审批人敏感数据导出申请站内信、App申请人、字段范围、用途、过期时间

14 · 接口与技术细节

接口需支持幂等、权限、审计、重试和回执

每个写接口必须有 requestId 或业务幂等键,外部回调必须验签和去重。
接口方法方向请求字段响应字段幂等/权限
/api/v1/audit/exportPOST/GETPC Web 到安全中心bizType, timeRange, reason, approvalIdexportTaskId, downloadUrl, expireAt导出审批校验
/api/v1/security/sensitive-access-requestsPOST/GET多端 到安全中心fieldCodes, bizType, bizId, reason, expireAt, requestIdaccessRequestId, accessStatus, watermarkedViewUrl审批通过限时授权
/api/v1/security/data-scopesPUTPC Web 到安全中心roleId, scopeType, orgIds, ruleJsoneffectiveScope, affectedUsers变更留痕
/api/v1/security/masking-rulesPOST/PUTPC Web 到安全中心fieldCode, maskingRule, revealPolicyruleId, enabled字段唯一
/api/v1/face/authorizations/{id}/revokePOST安全中心到设备中心authorizationId, reason, operatorIdrevokeTaskId, auditId敏感授权撤回留痕

前端约束

  • 统一登录态和租户校区上下文
  • 列表分页、筛选、排序、列显隐
  • 表单本地校验与服务端错误映射
  • 移动/平板/TV 按终端适配交互

后端约束

  • 领域服务封装业务规则
  • 写操作事务一致性
  • 关键操作审计快照
  • 异步任务失败重试和告警

集成约束

  • 第三方接口统一走开放集成中心
  • 回执文件归档
  • 接口日志可按业务单号追踪
  • 密钥和回调地址按环境隔离

15 · 数据库与存储设计

核心表建议、关键字段和索引方向

详细 DDL 已在平台技术设计文档中统一展开,本处保留模块核心表、关键字段和索引方向。
表名用途核心字段索引建议
sec_permission_policy菜单、按钮、字段和接口权限策略id、tenant_id、org_id、campus_id、created_by、created_at、updated_by、updated_at、is_deleted、deleted_at、deleted_by、version、policy_code、role_id、terminal_type、resource_policy、field_policy、enableduk_policy_code、idx_role_terminal
sec_sensitive_field_policy敏感字段脱敏策略id、tenant_id、org_id、campus_id、created_by、created_at、updated_by、updated_at、is_deleted、deleted_at、deleted_by、version、field_code、biz_type、mask_rule、view_requires_approval、watermark_requireduk_field_code、idx_biz
sec_sensitive_access_approval敏感数据查看审批id、tenant_id、org_id、campus_id、created_by、created_at、updated_by、updated_at、is_deleted、deleted_at、deleted_by、version、request_no、applicant_id、biz_type、biz_id、field_scope、access_reason、expire_at、approval_status、approval_instance_iduk_request_no、idx_status
sec_export_approval敏感数据导出审批id、tenant_id、org_id、campus_id、created_by、created_at、updated_by、updated_at、is_deleted、deleted_at、deleted_by、version、export_no、applicant_id、export_biz_type、filter_snapshot、file_id、download_expire_at、approval_status、approval_instance_iduk_export_no、idx_status
sec_high_risk_operation高危操作留痕与二次确认id、tenant_id、org_id、campus_id、created_by、created_at、updated_by、updated_at、is_deleted、deleted_at、deleted_by、version、operation_no、operator_id、operation_type、biz_type、biz_id、confirm_payload、operation_statusuk_operation_no、idx_operator_type
sec_backup_record数据备份与恢复记录id、tenant_id、org_id、campus_id、created_by、created_at、updated_by、updated_at、is_deleted、deleted_at、deleted_by、version、backup_no、backup_scope、storage_location、backup_started_at、backup_finished_at、backup_statusuk_backup_no、idx_status

DDL 草案

sec_permission_policyPermissionPolicy
CREATE TABLE `sec_permission_policy` (
  `id` BIGINT NOT NULL COMMENT '主键,雪花或号段生成,禁止复用;数据级别:普通',
  `tenant_id` BIGINT NOT NULL COMMENT '集团/租户隔离字段,所有查询必须带租户上下文;数据级别:普通',
  `org_id` BIGINT NULL COMMENT '所属组织,集团级或公共配置为空;数据级别:普通',
  `campus_id` BIGINT NULL COMMENT '所属校区,跨校区或总部级数据为空;数据级别:普通',
  `created_by` BIGINT NOT NULL COMMENT '创建人账号 ID;数据级别:普通',
  `created_at` DATETIME NOT NULL COMMENT '创建时间;数据级别:普通',
  `updated_by` BIGINT NULL COMMENT '最后更新人账号 ID;数据级别:普通',
  `updated_at` DATETIME NULL COMMENT '最后更新时间;数据级别:普通',
  `is_deleted` TINYINT NOT NULL DEFAULT 0 COMMENT '是否已删除,0 未删除,1 已删除;数据级别:普通',
  `deleted_at` DATETIME NULL COMMENT '删除时间,未删除为空;数据级别:普通',
  `deleted_by` BIGINT NULL COMMENT '删除人账号 ID,未删除为空;数据级别:普通',
  `version` INT NOT NULL DEFAULT 1 COMMENT '乐观锁版本号,写操作必须校验;数据级别:普通',
  `policy_code` VARCHAR(64) NOT NULL COMMENT '策略编码,唯一;数据级别:普通',
  `role_id` BIGINT NOT NULL COMMENT '角色 ID;数据级别:普通',
  `terminal_type` VARCHAR(32) NOT NULL COMMENT 'PC/App/小程序/H5/TV/大屏;数据级别:普通',
  `resource_policy` JSON NOT NULL COMMENT '资源权限配置;数据级别:普通',
  `field_policy` JSON NULL COMMENT '字段权限配置;数据级别:普通',
  `enabled` TINYINT NOT NULL COMMENT '是否启用;数据级别:普通',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_policy_code` (`policy_code`),
  KEY `idx_role_terminal` (`role_id`, `terminal_type`),
  KEY `idx_tenant_deleted` (`tenant_id`, `is_deleted`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='PermissionPolicy:菜单、按钮、字段和接口权限策略';
sec_sensitive_field_policySensitiveFieldPolicy
CREATE TABLE `sec_sensitive_field_policy` (
  `id` BIGINT NOT NULL COMMENT '主键,雪花或号段生成,禁止复用;数据级别:普通',
  `tenant_id` BIGINT NOT NULL COMMENT '集团/租户隔离字段,所有查询必须带租户上下文;数据级别:普通',
  `org_id` BIGINT NULL COMMENT '所属组织,集团级或公共配置为空;数据级别:普通',
  `campus_id` BIGINT NULL COMMENT '所属校区,跨校区或总部级数据为空;数据级别:普通',
  `created_by` BIGINT NOT NULL COMMENT '创建人账号 ID;数据级别:普通',
  `created_at` DATETIME NOT NULL COMMENT '创建时间;数据级别:普通',
  `updated_by` BIGINT NULL COMMENT '最后更新人账号 ID;数据级别:普通',
  `updated_at` DATETIME NULL COMMENT '最后更新时间;数据级别:普通',
  `is_deleted` TINYINT NOT NULL DEFAULT 0 COMMENT '是否已删除,0 未删除,1 已删除;数据级别:普通',
  `deleted_at` DATETIME NULL COMMENT '删除时间,未删除为空;数据级别:普通',
  `deleted_by` BIGINT NULL COMMENT '删除人账号 ID,未删除为空;数据级别:普通',
  `version` INT NOT NULL DEFAULT 1 COMMENT '乐观锁版本号,写操作必须校验;数据级别:普通',
  `field_code` VARCHAR(128) NOT NULL COMMENT '字段编码,唯一;数据级别:普通',
  `biz_type` VARCHAR(64) NOT NULL COMMENT '业务类型;数据级别:普通',
  `mask_rule` VARCHAR(64) NOT NULL COMMENT '脱敏规则;数据级别:普通',
  `view_requires_approval` TINYINT NOT NULL COMMENT '明文查看是否需审批;数据级别:普通',
  `watermark_required` TINYINT NOT NULL COMMENT '是否加水印;数据级别:普通',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_field_code` (`field_code`),
  KEY `idx_biz` (`biz_type`),
  KEY `idx_tenant_deleted` (`tenant_id`, `is_deleted`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='SensitiveFieldPolicy:敏感字段脱敏策略';
sec_sensitive_access_approvalSensitiveAccessApproval
CREATE TABLE `sec_sensitive_access_approval` (
  `id` BIGINT NOT NULL COMMENT '主键,雪花或号段生成,禁止复用;数据级别:普通',
  `tenant_id` BIGINT NOT NULL COMMENT '集团/租户隔离字段,所有查询必须带租户上下文;数据级别:普通',
  `org_id` BIGINT NULL COMMENT '所属组织,集团级或公共配置为空;数据级别:普通',
  `campus_id` BIGINT NULL COMMENT '所属校区,跨校区或总部级数据为空;数据级别:普通',
  `created_by` BIGINT NOT NULL COMMENT '创建人账号 ID;数据级别:普通',
  `created_at` DATETIME NOT NULL COMMENT '创建时间;数据级别:普通',
  `updated_by` BIGINT NULL COMMENT '最后更新人账号 ID;数据级别:普通',
  `updated_at` DATETIME NULL COMMENT '最后更新时间;数据级别:普通',
  `is_deleted` TINYINT NOT NULL DEFAULT 0 COMMENT '是否已删除,0 未删除,1 已删除;数据级别:普通',
  `deleted_at` DATETIME NULL COMMENT '删除时间,未删除为空;数据级别:普通',
  `deleted_by` BIGINT NULL COMMENT '删除人账号 ID,未删除为空;数据级别:普通',
  `version` INT NOT NULL DEFAULT 1 COMMENT '乐观锁版本号,写操作必须校验;数据级别:普通',
  `request_no` VARCHAR(64) NOT NULL COMMENT '申请编号,唯一;数据级别:普通',
  `applicant_id` BIGINT NOT NULL COMMENT '申请人 ID;数据级别:普通',
  `biz_type` VARCHAR(64) NOT NULL COMMENT '业务类型;数据级别:普通',
  `biz_id` BIGINT NOT NULL COMMENT '业务 ID;数据级别:普通',
  `field_scope` JSON NOT NULL COMMENT '申请查看字段;数据级别:普通',
  `access_reason` VARCHAR(512) NOT NULL COMMENT '查看原因;数据级别:普通',
  `expire_at` DATETIME NULL COMMENT '授权过期时间;数据级别:普通',
  `approval_status` VARCHAR(32) NULL COMMENT '审批状态,未发起为空;数据级别:普通',
  `approval_instance_id` BIGINT NULL COMMENT '关联审批实例 ID;数据级别:普通',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_request_no` (`request_no`),
  KEY `idx_status` (`approval_status`),
  KEY `idx_tenant_deleted` (`tenant_id`, `is_deleted`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='SensitiveAccessApproval:敏感数据查看审批';
sec_export_approvalExportApproval
CREATE TABLE `sec_export_approval` (
  `id` BIGINT NOT NULL COMMENT '主键,雪花或号段生成,禁止复用;数据级别:普通',
  `tenant_id` BIGINT NOT NULL COMMENT '集团/租户隔离字段,所有查询必须带租户上下文;数据级别:普通',
  `org_id` BIGINT NULL COMMENT '所属组织,集团级或公共配置为空;数据级别:普通',
  `campus_id` BIGINT NULL COMMENT '所属校区,跨校区或总部级数据为空;数据级别:普通',
  `created_by` BIGINT NOT NULL COMMENT '创建人账号 ID;数据级别:普通',
  `created_at` DATETIME NOT NULL COMMENT '创建时间;数据级别:普通',
  `updated_by` BIGINT NULL COMMENT '最后更新人账号 ID;数据级别:普通',
  `updated_at` DATETIME NULL COMMENT '最后更新时间;数据级别:普通',
  `is_deleted` TINYINT NOT NULL DEFAULT 0 COMMENT '是否已删除,0 未删除,1 已删除;数据级别:普通',
  `deleted_at` DATETIME NULL COMMENT '删除时间,未删除为空;数据级别:普通',
  `deleted_by` BIGINT NULL COMMENT '删除人账号 ID,未删除为空;数据级别:普通',
  `version` INT NOT NULL DEFAULT 1 COMMENT '乐观锁版本号,写操作必须校验;数据级别:普通',
  `export_no` VARCHAR(64) NOT NULL COMMENT '导出编号,唯一;数据级别:普通',
  `applicant_id` BIGINT NOT NULL COMMENT '申请人 ID;数据级别:普通',
  `export_biz_type` VARCHAR(64) NOT NULL COMMENT '导出业务类型;数据级别:普通',
  `filter_snapshot` JSON NOT NULL COMMENT '导出筛选条件快照;数据级别:普通',
  `file_id` BIGINT NULL COMMENT '导出文件 ID;数据级别:普通',
  `download_expire_at` DATETIME NULL COMMENT '下载过期时间;数据级别:普通',
  `approval_status` VARCHAR(32) NULL COMMENT '审批状态,未发起为空;数据级别:普通',
  `approval_instance_id` BIGINT NULL COMMENT '关联审批实例 ID;数据级别:普通',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_export_no` (`export_no`),
  KEY `idx_status` (`approval_status`),
  KEY `idx_tenant_deleted` (`tenant_id`, `is_deleted`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='ExportApproval:敏感数据导出审批';
sec_high_risk_operationHighRiskOperation
CREATE TABLE `sec_high_risk_operation` (
  `id` BIGINT NOT NULL COMMENT '主键,雪花或号段生成,禁止复用;数据级别:普通',
  `tenant_id` BIGINT NOT NULL COMMENT '集团/租户隔离字段,所有查询必须带租户上下文;数据级别:普通',
  `org_id` BIGINT NULL COMMENT '所属组织,集团级或公共配置为空;数据级别:普通',
  `campus_id` BIGINT NULL COMMENT '所属校区,跨校区或总部级数据为空;数据级别:普通',
  `created_by` BIGINT NOT NULL COMMENT '创建人账号 ID;数据级别:普通',
  `created_at` DATETIME NOT NULL COMMENT '创建时间;数据级别:普通',
  `updated_by` BIGINT NULL COMMENT '最后更新人账号 ID;数据级别:普通',
  `updated_at` DATETIME NULL COMMENT '最后更新时间;数据级别:普通',
  `is_deleted` TINYINT NOT NULL DEFAULT 0 COMMENT '是否已删除,0 未删除,1 已删除;数据级别:普通',
  `deleted_at` DATETIME NULL COMMENT '删除时间,未删除为空;数据级别:普通',
  `deleted_by` BIGINT NULL COMMENT '删除人账号 ID,未删除为空;数据级别:普通',
  `version` INT NOT NULL DEFAULT 1 COMMENT '乐观锁版本号,写操作必须校验;数据级别:普通',
  `operation_no` VARCHAR(64) NOT NULL COMMENT '操作编号,唯一;数据级别:普通',
  `operator_id` BIGINT NOT NULL COMMENT '操作人 ID;数据级别:普通',
  `operation_type` VARCHAR(64) NOT NULL COMMENT '删除/作废/红冲/批量导出/权限变更;数据级别:普通',
  `biz_type` VARCHAR(64) NOT NULL COMMENT '业务类型;数据级别:普通',
  `biz_id` BIGINT NULL COMMENT '业务 ID;数据级别:普通',
  `confirm_payload` JSON NULL COMMENT '二次确认内容;数据级别:普通',
  `operation_status` VARCHAR(32) NOT NULL COMMENT '待确认/已执行/已取消/失败;数据级别:普通',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_operation_no` (`operation_no`),
  KEY `idx_operator_type` (`operator_id`, `operation_type`),
  KEY `idx_tenant_deleted` (`tenant_id`, `is_deleted`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='HighRiskOperation:高危操作留痕与二次确认';
sec_backup_recordBackupRecord
CREATE TABLE `sec_backup_record` (
  `id` BIGINT NOT NULL COMMENT '主键,雪花或号段生成,禁止复用;数据级别:普通',
  `tenant_id` BIGINT NOT NULL COMMENT '集团/租户隔离字段,所有查询必须带租户上下文;数据级别:普通',
  `org_id` BIGINT NULL COMMENT '所属组织,集团级或公共配置为空;数据级别:普通',
  `campus_id` BIGINT NULL COMMENT '所属校区,跨校区或总部级数据为空;数据级别:普通',
  `created_by` BIGINT NOT NULL COMMENT '创建人账号 ID;数据级别:普通',
  `created_at` DATETIME NOT NULL COMMENT '创建时间;数据级别:普通',
  `updated_by` BIGINT NULL COMMENT '最后更新人账号 ID;数据级别:普通',
  `updated_at` DATETIME NULL COMMENT '最后更新时间;数据级别:普通',
  `is_deleted` TINYINT NOT NULL DEFAULT 0 COMMENT '是否已删除,0 未删除,1 已删除;数据级别:普通',
  `deleted_at` DATETIME NULL COMMENT '删除时间,未删除为空;数据级别:普通',
  `deleted_by` BIGINT NULL COMMENT '删除人账号 ID,未删除为空;数据级别:普通',
  `version` INT NOT NULL DEFAULT 1 COMMENT '乐观锁版本号,写操作必须校验;数据级别:普通',
  `backup_no` VARCHAR(64) NOT NULL COMMENT '备份编号,唯一;数据级别:普通',
  `backup_scope` JSON NOT NULL COMMENT '备份范围;数据级别:普通',
  `storage_location` VARCHAR(512) NOT NULL COMMENT '备份存储位置;数据级别:普通',
  `backup_started_at` DATETIME NOT NULL COMMENT '开始时间;数据级别:普通',
  `backup_finished_at` DATETIME NULL COMMENT '结束时间;数据级别:普通',
  `backup_status` VARCHAR(32) NOT NULL COMMENT '进行中/成功/失败/已过期;数据级别:普通',
  PRIMARY KEY (`id`),
  UNIQUE KEY `uk_backup_no` (`backup_no`),
  KEY `idx_status` (`backup_status`),
  KEY `idx_tenant_deleted` (`tenant_id`, `is_deleted`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='BackupRecord:数据备份与恢复记录';

16 · 异常、指标、测试与初始化

保证模块上线后可运营、可追踪、可验收

测试要覆盖主流程、异常流、权限流、接口失败和数据一致性。

异常状态

高危导出授权撤回恢复演练失败敏感查看越权临时授权过期审批原因缺失水印生成失败

指标埋点

敏感字段访问次数导出审批通过率权限异常数审计查询覆盖率备份恢复演练通过率

测试用例

编号场景前置步骤预期优先级
TC-002重复线索查重合并已有相同手机号客户再次提交报名并选择合并客户唯一,来源和跟进记录保留
TC-004报价优惠审批折扣低于阈值顾问提交报价审批待办生成,通过后可创建合同
TC-005电子合同签署和收款合同模板启用生成合同、家长签署、支付合同已签署、订单已收款、权益生效
TC-006合同监管备案失败重报监管接口模拟字段失败提交备案后修复字段重报失败回执保留,重报成功
TC-008人脸签到自动课消学员已授权人脸且课次待签到模拟设备回传识别事件签到成功、课消成功、家长收到通知
TC-009人脸未匹配异常设备回传未绑定人员提交识别事件进入异常队列,可人工确认或忽略
TC-010家长撤回人脸授权学员已授权并下发设备家长撤回授权系统停止识别并生成设备删除任务
TC-011学员端访问授权资源合同权益生效学员登录微信小程序或 App 打开课程资源资源可访问并记录学习进度,家长端仅查看学习报告摘要
TC-012合同到期资源自动失效合同有效期已过学员访问课程资源提示权限过期,不再播放资源
TC-015退费审批和监管退款合同有剩余权益提交退费、审批、模拟退款回执退款完成、课时冻结、收入和提成冲回
TC-SEC-ENH-001敏感数据交付闭环验收敏感访问申请、导出审批、审计日志相关基础数据、权限、审批流、消息模板和接口配置已初始化按补齐明文查看申请、临时授权、水印、导出审批、过期回收和审计。执行前端提交、后端处理、状态流转、异常重试和消息触达敏感数据每次查看和导出都有审批或授权记录。;同时产生审计日志、指标埋点和必要的补偿任务
TC-SEC-ENH-002高危操作交付闭环验收高危操作弹窗、审批流、审计详情相关基础数据、权限、审批流、消息模板和接口配置已初始化按补齐二次确认、审批触发、前后值快照、恢复入口和影响范围提示。执行前端提交、后端处理、状态流转、异常重试和消息触达高危动作可追溯、可解释,必要时可恢复。;同时产生审计日志、指标埋点和必要的补偿任务
TC-SEC-ENH-003跨模块追责交付闭环验收异常追溯、责任矩阵、处理任务相关基础数据、权限、审批流、消息模板和接口配置已初始化按补齐责任矩阵、异常归因、审计链路和关闭标准。执行前端提交、后端处理、状态流转、异常重试和消息触达跨模块异常不会停留在无法定位责任的状态。;同时产生审计日志、指标埋点和必要的补偿任务

上线初始化

初始化项动作数据验收
账号与权限初始化总部、区域、校区、顾问、教务、教师、财务、家长、学员角色账号、角色、菜单、按钮、字段、数据范围测试账号可按角色访问指定页面
课程与价格导入课程、班型、课包、课时、价格、适用校区课程编码、班型、价格表、有效期、赠课规则报价和合同可正确引用价格
合同模板配置多个统一电子合同模板模板编号、适用课程、条款变量、签署人规则合同生成内容完整且可签署
审批规则配置优惠、退费、转课、导出、薪资、课消撤销审批流审批对象、条件、节点、超时提醒测试单据可进入正确审批链
财务科目配置收款、预收、课消收入、退费、薪资、报销和内置科目映射科目、辅助核算、校区、项目、部门凭证可生成并写入测试账套
监管账户维护资金监管账户和教育局监管平台参数账户编号、校区映射、接口地址、证书、回调合同、收款、课消、退费可报送测试
设备参数登记人脸考勤机设备和校区绑定设备编号、位置、API 密钥、心跳阈值、识别阈值设备心跳正常且可接收人员下发
数据迁移迁移客户、学员、合同、剩余课时、课表、教师、员工基础数据源系统字段映射、校验结果、差异清单关键业务对象数量和余额一致
敏感数据交付配置初始化补齐明文查看申请、临时授权、水印、导出审批、过期回收和审计。所需的页面入口、功能开关、审批流、消息模板、状态枚举、异常原因和角色权限敏感访问申请、导出审批、审计日志敏感数据每次查看和导出都有审批或授权记录。
高危操作交付配置初始化补齐二次确认、审批触发、前后值快照、恢复入口和影响范围提示。所需的页面入口、功能开关、审批流、消息模板、状态枚举、异常原因和角色权限高危操作弹窗、审批流、审计详情高危动作可追溯、可解释,必要时可恢复。
跨模块追责交付配置初始化补齐责任矩阵、异常归因、审计链路和关闭标准。所需的页面入口、功能开关、审批流、消息模板、状态枚举、异常原因和角色权限异常追溯、责任矩阵、处理任务跨模块异常不会停留在无法定位责任的状态。