docs: add multi-round review learnings to team quality docs

- PRODUCTION_CHECKLIST: add RBAC/admin governance checklist section - PROJECT_EXPERIENCE_SUMMARY: add lessons from 2026-04-10 reviews (live ≠ done, main-entry green > local green, test noise = quality issue, docs lag = rework) - QUALITY_STANDARD: add stub→live review threshold rules
2026-04-11 10:41:08 +08:00
parent 95a6afb574
commit 2cd76b2835
4 changed files with 94 additions and 0 deletions
--- a/docs/team/PRODUCTION_CHECKLIST.md
+++ b/docs/team/PRODUCTION_CHECKLIST.md
@@ -109,3 +109,19 @@ npm.cmd run e2e:full:win
  - `GET /health`
  - `GET /health/live`
  - `GET /health/ready`
+
+## 6. 2026-04-10 多轮 Review 补充检查项
+
+### 6.1 RBAC / 管理员治理改动
+
+- [ ] 涉及 `GetUserRoles`、`AssignRoles`、`CreateAdmin`、`DeleteAdmin`、角色表单或管理员页的改动时，已验证越权读取失败、越权修改失败。
+- [ ] 已验证不可自删管理员、不可删除最后一个管理员、不可把系统带入无管理员状态。
+- [ ] 已验证角色赋权、管理员创建、管理员删除具备事务性；若失败，数据库状态可回滚到操作前。
+- [ ] 已验证未引入绕过 bootstrap 或 service 校验链路的硬编码角色 ID 或默认角色假设。
+
+### 6.2 主入口与测试洁净度
+
+- [ ] 文档声明的主入口命令本身已跑通：`go test ./... -count=1`、`cd frontend/admin && npm.cmd run e2e:full:win`。
+- [ ] 若包装脚本、临时缓存、工作目录切换或环境注入失败，已按真实失败处理，而不是拿局部命令绿灯代替。
+- [ ] `cd frontend/admin && npm.cmd run test:run` 与 `cd frontend/admin && npm.cmd run test:coverage` 运行后，无 `window.alert`、`window.confirm`、`window.prompt`、`window.open` 调用和 jsdom `Not implemented` 噪声。
+- [ ] 如本轮改动把 stub、`not implemented` 或 mock 接口切换为 live 实现，已补充负向权限测试、边界条件测试、失败回滚测试。