feat: P1-P3 全栈集成 — 数据库基础 + DWS 扩展 + 小程序鉴权 + 工程化体系

## P1 数据库基础 - zqyy_app: 创建 auth/biz schema、FDW 连接 etl_feiqiu - etl_feiqiu: 创建 app schema RLS 视图、商品库存预警表 - 清理 assistant_abolish 残留数据 ## P2 ETL/DWS 扩展 - 新增 DWS 助教订单贡献度表 (dws.assistant_order_contribution) - 新增 assistant_order_contribution_task 任务及 RLS 视图 - member_consumption 增加充值字段、assistant_daily 增加处罚字段 - 更新 ODS/DWD/DWS 任务文档及业务规则文档 - 更新 consistency_checker、flow_runner、task_registry 等核心模块 ## P3 小程序鉴权系统 - 新增 xcx_auth 路由/schema（微信登录 + JWT） - 新增 wechat/role/matching/application 服务层 - zqyy_app 鉴权表迁移 + 角色权限种子数据 - auth/dependencies.py 支持小程序 JWT 鉴权 ## 文档与审计 - 新增 DOCUMENTATION-MAP 文档导航 - 新增 7 份 BD_Manual 数据库变更文档 - 更新 DDL 基线快照（etl_feiqiu 6 schema + zqyy_app auth） - 新增全栈集成审计记录、部署检查清单更新 - 新增 BACKLOG 路线图、FDW→Core 迁移计划 ## Kiro 工程化 - 新增 5 个 Spec（P1/P2/P3/全栈集成/核心业务） - 新增审计自动化脚本（agent_on_stop/build_audit_context/compliance_prescan） - 新增 6 个 Hook（合规检查/会话日志/提交审计等） - 新增 doc-map steering 文件 ## 运维与测试 - 新增 ops 脚本：迁移验证/API 健康检查/ETL 监控/集成报告 - 新增属性测试：test_dws_contribution / test_auth_system - 清理过期 export 报告文件 - 更新 .gitignore 排除规则
2026-02-26 08:03:53 +08:00
parent fafc95e64c
commit b25308c3f4
224 changed files with 17660 additions and 32198 deletions
--- a/apps/backend/app/services/wechat.py
+++ b/apps/backend/app/services/wechat.py
@@ -0,0 +1,90 @@
+# -*- coding: utf-8 -*-
+"""
+微信认证服务 —— 封装 code2Session API 调用。
+
+通过 httpx.AsyncClient 异步调用微信 jscode2session 接口，
+将小程序端的临时登录凭证 (code) 换取 openid / session_key。
+"""
+
+from __future__ import annotations
+
+import logging
+
+import httpx
+
+from app.config import get
+
+logger = logging.getLogger(__name__)
+
+CODE2SESSION_URL = "https://api.weixin.qq.com/sns/jscode2session"
+
+# 微信 errcode → (HTTP 状态码, 用户可见提示)
+_WX_ERROR_MAP: dict[int, tuple[int, str]] = {
+    40029: (401, "登录凭证无效，请重新登录"),
+    45011: (429, "请求过于频繁"),
+    40226: (403, "账号存在风险"),
+}
+
+
+class WeChatAuthError(Exception):
+    """微信认证错误，包含 errcode 和 errmsg。"""
+
+    def __init__(self, errcode: int, errmsg: str) -> None:
+        self.errcode = errcode
+        self.errmsg = errmsg
+        super().__init__(f"WeChatAuthError({errcode}): {errmsg}")
+
+    @property
+    def http_status(self) -> int:
+        """根据 errcode 映射到建议的 HTTP 状态码。"""
+        return _WX_ERROR_MAP.get(self.errcode, (401, ""))[0]
+
+    @property
+    def detail(self) -> str:
+        """根据 errcode 映射到用户可见的错误提示。"""
+        return _WX_ERROR_MAP.get(self.errcode, (401, "微信登录失败"))[1]
+
+
+async def code2session(code: str) -> dict:
+    """
+    调用微信 code2Session 接口。
+
+    参数:
+        code: 小程序端 wx.login() 获取的临时登录凭证
+
+    返回:
+        {"openid": str, "session_key": str, "unionid": str | None}
+
+    异常:
+        WeChatAuthError: 微信接口返回非零 errcode 时抛出
+        RuntimeError: WX_APPID / WX_SECRET 环境变量缺失时抛出
+    """
+    appid = get("WX_APPID", "")
+    secret = get("WX_SECRET", "")
+
+    if not appid or not secret:
+        raise RuntimeError("微信配置缺失：WX_APPID 或 WX_SECRET 未设置")
+
+    params = {
+        "appid": appid,
+        "secret": secret,
+        "js_code": code,
+        "grant_type": "authorization_code",
+    }
+
+    async with httpx.AsyncClient(timeout=10.0) as client:
+        resp = await client.get(CODE2SESSION_URL, params=params)
+        resp.raise_for_status()
+        data = resp.json()
+
+    errcode = data.get("errcode", 0)
+    if errcode != 0:
+        errmsg = data.get("errmsg", "unknown error")
+        logger.warning("微信 code2Session 失败: errcode=%s, errmsg=%s", errcode, errmsg)
+        raise WeChatAuthError(errcode, errmsg)
+
+    return {
+        "openid": data["openid"],
+        "session_key": data["session_key"],
+        "unionid": data.get("unionid"),
+    }