feat(v0.7.1): P0 修复 + 企微 SSO + RBAC 细粒度 + audit_log

P0 修复: - /api/ready import 错误 (_get_engine + settings.create_redis_client) - 删 agent.otp_secret/otp_enabled 双字段 (migration 026) - 重建 021_rbac migration (IF NOT EXISTS 兼容) P1 新增: - 企微 SSO (auth_wecom_sso.py, useWeChatWorkSSO composable, PortalSelect UA 检测) - RBAC 5 角色 × 4 资源 × 4 操作 × 3 范围 (rbac_service + seed_rbac + require_permission) - audit_log 模型 + migration 027 + 服务 + API - 管理后台 RBAC 权限矩阵 UI (PermissionsMatrix.vue) 质量: - pytest 405 passed / 33 pre-existing failed / 4 xfailed (v0.7.1 引入失败 = 0) - conftest GBK patch 强制 UTF-8 读 .env - .gitignore 排除 *.b64 (含 admin token 凭据) - DEPLOY-v0.7.1.md 7 步 runbook + 4 坑 + 回滚预案
2026-06-22 17:38:47 +08:00
parent 2e6ac0f0ab
commit 78f60c6857
30 changed files with 2928 additions and 49 deletions
@@ -124,6 +124,16 @@ class Settings(BaseSettings):
    # 设备申请审批模板ID（在企微审批应用设置中获取）
    approval_template_device: str = ""

+    # ----------------------------------------------------------------------
+    # v0.7.1 企微 SSO 入口配置 (task #85)
+    # ----------------------------------------------------------------------
+    # 是否启用企微 SSO（true = 优先用企微 OAuth2 静默授权,失败时降级扫码）
+    # 通过环境变量 WECOM_SSO_ENABLED 控制（默认 false,避免老用户被打扰）
+    wecom_sso_enabled: bool = False
+    # SSO OAuth 回调 base URL（企微要求 redirect_uri 必须用可信域名）
+    # 生产: https://itsupport.servyou.com.cn  开发: http://localhost:5176
+    wecom_sso_callback_base: str = ""
+
    # ----------------------------------------------------------------------
    # v0.5.4 应急页身份检测配置
    # ----------------------------------------------------------------------