feat(v0.7.1): P0 修复 + 企微 SSO + RBAC 细粒度 + audit_log

P0 修复:
- /api/ready import 错误 (_get_engine + settings.create_redis_client)
- 删 agent.otp_secret/otp_enabled 双字段 (migration 026)
- 重建 021_rbac migration (IF NOT EXISTS 兼容)

P1 新增:
- 企微 SSO (auth_wecom_sso.py, useWeChatWorkSSO composable, PortalSelect UA 检测)
- RBAC 5 角色 × 4 资源 × 4 操作 × 3 范围 (rbac_service + seed_rbac + require_permission)
- audit_log 模型 + migration 027 + 服务 + API
- 管理后台 RBAC 权限矩阵 UI (PermissionsMatrix.vue)

质量:
- pytest 405 passed / 33 pre-existing failed / 4 xfailed (v0.7.1 引入失败 = 0)
- conftest GBK patch 强制 UTF-8 读 .env
- .gitignore 排除 *.b64 (含 admin token 凭据)
- DEPLOY-v0.7.1.md 7 步 runbook + 4 坑 + 回滚预案

backend/app/api/admin_roles.py

@@ -382,3 +382,132 @@ async def delete_mapping_rule(
     logger.info(f"管理员 {_mask_sensitive_data(admin.employee_id)} 删除映射规则 {rule_id}")
 
     return success_response(message="映射规则删除成功")
+
+
+# ==========================================================================
+# 4. 权限矩阵可视化 (v0.7.1 task #86)
+# ==========================================================================
+# 给管理后台 UI 用: 返回 5 角色 × 4 资源 × 4 操作 × 3 范围的完整矩阵
+# 嵌套结构方便前端直接渲染表格:
+#   {
+#     "roles": [{name, display_name, permissions: [string]}],
+#     "resources": [conversation, agent, ...],
+#     "actions": [read, create, update, delete],
+#     "scopes": [own, department, all],
+#     "matrix": {
+#       "agent": {  # 角色名
+#         "conversation:read:own": true,
+#         "conversation:read:all": true,
+#         ...
+#       }
+#     }
+#   }
+# ==========================================================================
+@router.get("/permissions/matrix")
+async def get_permissions_matrix(
+    admin: UserInfo = Depends(require_admin),
+    db: AsyncSession = Depends(get_db),
+):
+    """获取 RBAC 完整权限矩阵(管理后台可视化用)。
+
+    返回 5 角色预置的 permissions JSON,前端用此数据渲染
+    角色 × 资源 × 操作 × 范围 的可读表格。
+
+    Args:
+        admin: 管理员（权限校验）
+        db: 数据库会话
+
+    Returns:
+        Dict: 统一响应格式,包含完整权限矩阵
+    """
+    from app.services.rbac_service import (
+        ROLE_PERMISSIONS,
+        VALID_ACTIONS,
+        VALID_RESOURCES,
+        VALID_SCOPES,
+        permissions_to_strings,
+    )
+
+    # 1. 查 DB 拿角色元数据(显示名等)
+    stmt = select(Role).order_by(Role.is_default.desc(), Role.name)
+    result = await db.execute(stmt)
+    roles = result.scalars().all()
+
+    # 2. 构建角色列表(以代码里的 ROLE_PERMISSIONS 为准,DB 字段作 display_name)
+    role_list = []
+    matrix = {}
+    for role in roles:
+        # 优先用代码常量(单一可信源);DB 字段仅作元数据
+        perms = ROLE_PERMISSIONS.get(role.name, set())
+        perms_list = permissions_to_strings(perms)
+
+        role_list.append({
+            "name": role.name,
+            "display_name": role.display_name,
+            "description": role.description,
+            "is_default": role.is_default,
+            "permission_count": len(perms_list),
+        })
+
+        # 3. 角色 × 资源 × 操作 × 范围 的全矩阵
+        #    true/false 表征是否拥有此权限
+        #    前端用此渲染表格,空格表示"不适用"
+        role_matrix = {}
+        for resource in VALID_RESOURCES:
+            for action in VALID_ACTIONS:
+                for scope in VALID_SCOPES:
+                    perm = f"{resource}:{action}:{scope}"
+                    role_matrix[perm] = (resource, action, scope) in perms
+        matrix[role.name] = role_matrix
+
+    return success_response(data={
+        "roles": role_list,
+        "resources": VALID_RESOURCES,
+        "actions": VALID_ACTIONS,
+        "scopes": VALID_SCOPES,
+        "matrix": matrix,
+    })
+
+
+# ---------- GET /api/admin/roles/permissions/check ----------
+# 给前端按钮级权限控制用: 传入 (resource, action, scope) 查当前用户是否拥有
+# 注: 这是 endpoint 版本,装饰器版本见 app.dependencies.require_permission
+@router.get("/permissions/check")
+async def check_my_permission(
+    resource: str = Query(..., description="资源"),
+    action: str = Query(..., description="操作"),
+    scope: str = Query("own", description="数据范围"),
+    admin: UserInfo = Depends(require_admin),
+):
+    """检查当前管理员是否拥有指定权限(给前端按钮级控制用)。
+
+    永远返回 true(因为 require_admin 已确保是 admin)。
+    此端点存在是为了给前端一个统一入口,实际权限由后端强制。
+    未来扩展:可加 current_user 参数(非 admin 角色也能调)。
+
+    Args:
+        resource: 资源
+        action: 操作
+        scope: 数据范围
+
+    Returns:
+        Dict: 统一响应格式,包含 has_permission 字段
+    """
+    from app.services.rbac_service import check_permission, ROLE_PERMISSIONS, permissions_to_strings
+
+    user_perms = {role: permissions_to_strings(perms) for role, perms in ROLE_PERMISSIONS.items()}
+
+    has_perm = check_permission(
+        user_roles=admin.roles,
+        user_permissions=user_perms,
+        required_resource=resource,
+        required_action=action,
+        required_scope=scope,
+    )
+
+    return success_response(data={
+        "has_permission": has_perm,
+        "resource": resource,
+        "action": action,
+        "scope": scope,
+    })