docs: add multi-round review learnings to team quality docs
- PRODUCTION_CHECKLIST: add RBAC/admin governance checklist section - PROJECT_EXPERIENCE_SUMMARY: add lessons from 2026-04-10 reviews (live ≠ done, main-entry green > local green, test noise = quality issue, docs lag = rework) - QUALITY_STANDARD: add stub→live review threshold rules
This commit is contained in:
@@ -254,3 +254,29 @@ npm.cmd run e2e:full:win
|
||||
- 禁止"用 mock 响应替代真实 API 调用进行 E2E 验证"。
|
||||
- 禁止"在测试中硬编码预期结果而不走真实业务链路"。
|
||||
- 禁止"跳过认证、权限校验等安全环节直接断言页面状态"。
|
||||
|
||||
## 11. 2026-04-10 多轮 Review 新增质量规则
|
||||
|
||||
### 11.1 stub 转 live 的复核门槛
|
||||
|
||||
- 任何从 stub、mock、`not implemented` 切换为 live 的接口,都必须重新做权限边界审查,不能沿用“之前只是占位实现”的风险判断。
|
||||
- 这类改动至少补齐:正向用例、负向权限用例、边界条件用例、失败回滚用例。
|
||||
- 若 live 化后暴露新治理风险,结论应以新风险为准,禁止因为“功能终于通了”而降低审查标准。
|
||||
|
||||
### 11.2 RBAC / 管理员治理规则
|
||||
|
||||
- `GetUserRoles`、`AssignRoles`、`CreateAdmin`、`DeleteAdmin` 这类能力必须有显式权限控制,不能默认任何已登录用户可读写他人角色数据。
|
||||
- 管理员治理必须包含 `self-action` 与 `last-admin` 防护:禁止自删管理员、禁止删除最后一个管理员、禁止把系统带入无管理员状态。
|
||||
- 角色赋权、管理员创建、管理员删除这类多步写操作必须具备事务性;若底层不支持事务,必须提供显式回滚并有对应测试。
|
||||
- 禁止在已有可靠角色解析或引导链路之外,再引入硬编码角色 ID 作为生产逻辑捷径。
|
||||
|
||||
### 11.3 干净通过的定义
|
||||
|
||||
- `go test ./... -count=1` 与 `cd frontend/admin && npm.cmd run e2e:full:win` 是当前项目的真实发布门槛;局部命令绿灯、单步 build 绿灯、`-short` 绿灯都不能替代。
|
||||
- 文档支持的主入口命令本身必须可复现;脚本包装器、临时缓存路径、工作目录切换等任一层失败,都应按真实失败处理。
|
||||
- 测试完成后若仍输出 `window.alert`、`window.confirm`、`window.prompt`、`window.open` 或对应的 jsdom `Not implemented` 噪声,不算干净通过,必须继续治理。
|
||||
|
||||
### 11.4 文档同步要求
|
||||
|
||||
- review 结论改变后,必须同步更新状态文档、门槛文档、技术指引和经验文档,禁止让旧结论继续充当协作依据。
|
||||
- 文档中的“已闭环”“可上线”“已收口”表述,必须对应实际执行过的命令结果和当前支持的主验收入口。
|
||||
|
||||
Reference in New Issue
Block a user