Neo-ZQYY/docs/audit/changes/2026-03-23__disable-to-remove-user-auth-model-fix.md

变更审计记录：禁用用户改为移除用户 + 小程序鉴权两层模型修复

字段	值
日期	2026-03-23 21:42:26
Prompt-ID	P20260323-190012
Session-ID	01d3f04b
Session 路径	docs/audit/session_logs/2026-03/23/32_834c940b_190011

操作摘要

用户指出小程序鉴权模型混淆了两层：第一层微信身份（JWT）不应因业务状态 disabled 而拒绝；租户不应有全局禁用用户的权限，只能从店铺关系中移除。本次改动移除了 login/refresh 接口对 disabled 用户的 403 拦截，使 disabled 用户可正常获取受限令牌，由前端状态路由处理业务层逻辑。

本次对话文件变更

新增文件

• docs/audit/prompt_logs/prompt_log_20260323_190012.md
• docs/audit/session_logs/2026-03/23/31_d178bd1a_185322/main_01_6e26cf47.md

删除文件

• docs/audit/session_logs/2026-03/23/31_d178bd1a_185322/main_01_b213fe92.md（session log 替换）

改动注解

apps/backend/app/routers/xcx_auth.py

• 变更类型：修改
• 原始原因：用户被禁用后跳转登录页报 401/403 错误。根因是鉴权模型混淆了两层——第一层微信身份（JWT）不应因业务状态 disabled 而拒绝登录/刷新；租户管理后台的"禁用"操作直接改 auth.users.status='disabled' 是全局操作，不符合多租户隔离。
• 思路分析：
  1. login 接口：移除 if user_status == "disabled": raise HTTPException(403) 拦截。disabled/new/pending/rejected 统一签发受限令牌，由前端状态路由处理。
  2. refresh 接口：同样移除 disabled 用户的 403 拦截。第一层（微信身份）始终有效，disabled 只影响第二层（业务状态路由）。
  3. 附带改动：login 时补全 unionid 幂等更新逻辑（CHANGE 2026-03-22）；login/dev-login 返回 role 字段；/me 接口查询当前门店角色并返回；新增 cancel-application 接口；dev-switch-role 角色列表更新为小程序端 4 角色（coach/staff/head_coach/manager）；site_code_mapping 引用改为 biz.sites。
  4. trace 装饰器：所有路由函数添加 @trace_service 装饰器用于调用链追踪。
• 修改结果：disabled 用户可正常登录并获取受限令牌，前端根据 user_status 路由到对应页面（申请页/审核中/被拒绝/被禁用提示）。租户管理后台后续将"禁用"改为"移除"（删 user_site_roles + 条件重置 status=new）。

合规检查

• ✅ OpenAPI spec 已重新导出（137 paths, 194 schemas）
• ⚠️ apps/backend/docs/API-REFERENCE.md 待同步更新
• 💡 请重连 OpenAPI Power 的 MCP server 以加载新 spec
• ✅ 无新增迁移 SQL
• ⚠️ DDL 基线待确认（has_ddl_baseline: false）

风险提示

• 已有 disabled 状态的用户需要手动处理（当前测试库 id=8778 已恢复为 approved）
• 第三次拒绝自动禁用逻辑保持不变（系统级行为）
• dev-switch-role 角色列表从 (coach, staff, site_admin, tenant_admin) 改为 (coach, staff, head_coach, manager)，需确认开发调试场景覆盖