library-picturebook-activity/docs/migration/default-role-matrix.md

默认角色/菜单/权限 最小可用集（全租户）

本文件用于指导 Flyway “全租户补齐”迁移脚本的默认授权策略，目标是让任一租户创建后即可登录、看到菜单、并具备最小可用功能入口。

角色（role.code）

• super_admin：平台超管（通常仅超级租户/运维使用）
• tenant_admin：租户管理员（每个租户至少 1 个）
• school_admin：学校管理端角色
• teacher：教师端角色
• student：学生端角色
• judge：评委端角色

注：目前历史迁移仅对 tenant_id=1 初始化了 school_admin/teacher/student/judge，但线上实际登录已出现 tenant_admin，因此迁移需对全租户补齐该角色。

菜单可见性（t_auth_role_menu）

tenant_admin（租户管理员）

• 默认策略：可见全部管理端菜单，但不包含平台级租户管理（避免非平台人员管理其他租户）。\n
  • ✅ 包含：除 permission='super_admin' 以及 permission LIKE 'tenant:%' 的菜单外的所有 t_auth_menu。\n
  • ✅ 祖先节点补齐：即使祖先菜单未直接授权，也应在接口层补齐返回。\n
  • ✅ 说明：最终可见菜单仍以 t_auth_role_menu 为准；如需更精细裁剪，可在系统中二次授权。

school_admin / teacher / student / judge

• 默认策略：优先按 tenant_id=1 的同名角色授权模板复制到其他租户（同 role.code）。\n
  • 复制范围：t_auth_role_menu 中 role_id 对应 tenant_id=1 且 role.code IN ('school_admin','teacher','student','judge') 的记录。\n
  • 如果模板不存在，则降级为：仅授予 workbench + 与角色端相关的一级菜单（例如 activities/homework）。

权限（t_auth_role_permission）

权限来源

• 以 tenant_id=1 为“权限码模板”：将 t_auth_permission(tenant_id=1) 中的权限码复制到所有租户（缺失则补齐）。\n
  • 原因：权限表按租户隔离，但权限码是全局统一的前后端契约；菜单/路由/按钮依赖这些 code。

tenant_admin（建议最小集）

• 系统管理（租户内）：user:*、role:*、permission:*、menu:*、dict:*、config:*、log:*\n
• 业务最小可用：建议至少包含 contest:*、registration:*、judge:*、notice:*、homework:*、work:*、activity:*、review:score、以及前端提取的权限码（见 docs/migration/permission-inventory.md）。

其他角色

• 默认按 tenant_id=1 角色模板复制 t_auth_role_permission；不存在模板时至少保证页面可进入（满足路由 meta.permissions）。\n