Initialize backendized SurClaw report system

- Add React/Vite frontend for login, dashboard, reports, templates, users, settings, AI, speech, and media workflows.

- Add NestJS/Prisma/PostgreSQL backend with auth, dashboard stats, reports, templates, users, departments, settings, files, AI, speech, audit logs, and HTML sanitization.

- Add Prisma schema, migrations, seed data, persistent app sessions, Docker/Nginx deployment files, and upload volume configuration.

- Add Vitest, Playwright, backend integration tests, and project documentation for requirements, design, permissions, API contracts, testing, deployment, security, and progress.

- Configure production local fallback switch and remove unused Gemini direct dependency/env wiring.
This commit is contained in:
2026-05-02 01:37:20 +08:00
commit 014aca8619
162 changed files with 27116 additions and 0 deletions

34
docs/README.md Normal file
View File

@@ -0,0 +1,34 @@
# 项目文档入口
本文档目录基于当前仓库源码整理,目标是帮助新接手者快速理解系统边界、核心流程和后续维护重点。本文档只描述已经在代码中能看到的事实;规划项会明确标为待办。
## 文档结构
- [需求文档](./requirements.md):业务目标、用户角色、功能需求和非功能约束。
- [设计文档](./design.md):前端架构、路由、状态、数据模型和关键设计取舍。
- [权限设计](./permissions.md):已确定的角色、部门、报告、模板和 AI 上下文权限规则。
- [进度文档](./progress.md):当前完成度、已知风险和下一步建议。
- [功能盘点](./features.md):逐项区分真实可用、外部真实集成、前端演示和预留功能。
- [测试文档](./testing.md):测试命令、覆盖范围和待补端到端测试。
- [API 契约草案](./api-contract.md):后端化前的接口语义、权限过滤和响应格式约定。
- [后端化与用户化改造方案](./backendization-plan.md)前后端拆分、数据模型、API、权限、安全和迁移阶段。
- [数据与存储](./data-storage.md)`localStorage` / `sessionStorage` 键、数据生命周期和迁移点。
- [部署运行](./deployment.md):本地开发、后端 API、构建、Docker Compose 和 Nginx 部署方式。
- [安全说明](./security.md):当前安全边界、敏感信息风险和生产化建议。
## 模块文档
- [认证与用户权限](./modules/auth-and-users.md)
- [报告编辑器](./modules/report-editor.md)
- [报告管理与查看](./modules/report-management.md)
- [模板管理](./modules/template-management.md)
- [系统设置](./modules/system-settings.md)
## 快速事实
- 技术栈React 19、TypeScript、Vite 6、Tailwind CSS 4、React Router DOM 7、NestJS、Prisma、PostgreSQL。
- 应用类型:前端 SPA + NestJS API。登录、报告、模板、用户管理、部门模板授权、系统设置和签名文件已接入后端其余主业务页面仍处于迁移期。
- 数据层:认证用户、报告、报告媒体关系、模板、字段库、模板图片资源、视频/关键帧文件、用户管理、部门模板授权、系统设置和签名文件来自 PostgreSQL/后端文件目录。
- 本地开发端口:前端 `3001`,后端 API `3000`Docker Compose 暴露 API 到宿主机 `3002`
- 默认账号:`admin / 123456``manager / 123456``0001 / 123456`
- 核心代码目录:`src/pages``src/components``src/utils``src/types.ts`

660
docs/api-contract.md Normal file
View File

@@ -0,0 +1,660 @@
# API 契约草案
本文档定义后端化时的接口语义和权限边界。当前项目已实现认证、报告、模板、用户/部门、设置和签名文件接口,其余接口仍用于指导后续后端化。
当前后端骨架已实现:
- `GET /api/health`
- `POST /api/auth/login`
- `GET /api/auth/me`
- `POST /api/auth/logout`
- `GET /api/reports`
- `POST /api/reports`
- `GET /api/reports/:id`
- `PATCH /api/reports/:id`
- `DELETE /api/reports/:id`
- `GET /api/templates`
- `POST /api/templates`
- `GET /api/templates/:id`
- `PATCH /api/templates/:id`
- `DELETE /api/templates/:id`
- `GET /api/users`
- `POST /api/users`
- `GET /api/users/:id`
- `PATCH /api/users/:id`
- `DELETE /api/users/:id`
- `GET /api/departments`
- `POST /api/departments`
- `PATCH /api/departments/:id`
- `DELETE /api/departments/:id`
- `PATCH /api/departments/:id/template-permissions`
- `GET /api/settings/system`
- `PATCH /api/settings/system`
- `POST /api/settings/system/reset`
- `POST /api/users/:id/signature`
- `DELETE /api/users/:id/signature`
- `GET /api/files/:id/content`
- `GET /api/ai/models`
- `POST /api/ai/chat`
- `GET /api/speech/iat` WebSocket
- `GET /api/library/fields`
- `PATCH /api/library/fields`
- `GET /api/files`
- `POST /api/files`
- `DELETE /api/files/:id`
报告媒体关系表、数据库 Session 和第一版审计日志已实现;查看日志、第三方调用摘要和后端导出接口仍是后续项。
## 通用约定
### Base URL
```text
/api
```
### 认证
建议使用短期 Access Token + HttpOnly Refresh Cookie或完整 HttpOnly Session Cookie。前端不应保存密码、完整用户列表或第三方服务密钥。
### 响应格式
成功:
```json
{
"data": {},
"requestId": "req_xxx"
}
```
失败:
```json
{
"error": {
"code": "FORBIDDEN",
"message": "无权访问该资源"
},
"requestId": "req_xxx"
}
```
### 常用状态码
| 状态码 | 含义 |
| --- | --- |
| `200` | 请求成功。 |
| `201` | 创建成功。 |
| `204` | 删除或无响应体操作成功。 |
| `400` | 请求参数错误。 |
| `401` | 未登录或登录态失效。 |
| `403` | 已登录但无权限。 |
| `404` | 资源不存在,或当前用户无权感知该资源。 |
| `409` | 唯一约束或状态冲突。 |
| `422` | 业务校验失败。 |
## 核心类型
### User
```ts
type UserRole = 'super' | 'admin' | 'doctor';
interface UserDTO {
id: string;
username: string;
role: UserRole;
name: string;
departmentId: string;
departmentName?: string;
department?: string;
status: 'active' | 'inactive';
phone?: string;
email?: string;
signatureFileId?: string;
signature?: string;
visibleTemplates?: string[];
manageableTemplates?: string[];
createdAt: string;
updatedAt: string;
}
```
后端不得返回 `password_hash`
### Report
```ts
interface ReportDTO {
id: string;
title: string;
patientName: string;
hospitalId: string;
departmentId: string;
departmentName: string;
authorId: string;
authorName: string;
status: 'draft' | 'completed';
revision: number;
content: string;
videos?: Array<{
id: string;
name: string;
url: string;
duration: number;
fileId?: string;
}>;
capturedFrames?: Array<{
id: number;
videoIndex: number;
videoName: string;
time: number;
timeFormatted: string;
dataUrl: string;
fileId?: string;
}>;
createdAt: string;
updatedAt: string;
}
```
已完成报告再次修改时,后端必须递增 `revision` 并创建历史版本。`videos``capturedFrames` 是前端兼容 DTO 字段,后端持久化到 `ReportMedia` 并关联 `FileResource`
### Template
```ts
interface TemplateDTO {
id: string;
name: string;
description?: string;
scope: 'department' | 'personal';
departmentId?: string;
ownerUserId?: string;
content: string;
fields: FormFieldDTO[];
canUse: boolean;
canManage: boolean;
createdAt: string;
updatedAt: string;
}
```
医生个人模板必须只对本人可见和可用。
## Auth API
### `POST /api/auth/login`
请求:
```json
{
"username": "0001",
"password": "123456"
}
```
响应:
```json
{
"data": {
"user": {
"id": "usr_0001",
"username": "0001",
"role": "doctor",
"name": "张医生",
"departmentId": "dept_surgery",
"departmentName": "外科",
"status": "active"
}
}
}
```
规则:
- 禁用用户返回 `403 FORBIDDEN`
- 用户名或密码错误返回 `401 UNAUTHORIZED`
- 前端通过 HttpOnly Session Cookie 维持登录态,不保存 access token。
### `GET /api/auth/me`
返回当前登录用户。前端启动后用它恢复登录态,并把后端 `doctor` 角色映射为当前前端兼容类型 `user`
### `POST /api/auth/logout`
清除服务端会话或 refresh cookie。
## Reports API
### `GET /api/reports`
查询参数:
```text
q?: string
status?: draft | completed
dateRange?: today | week | month
page?: number
pageSize?: number
```
权限过滤:
- 超级管理员:返回全部报告。
- 管理员:只返回本部门报告。
- 医生:只返回本人报告。
响应:
```json
{
"data": {
"items": [],
"total": 0,
"page": 1,
"pageSize": 20
}
}
```
### `POST /api/reports`
创建报告。后端写入 `authorId``departmentId``revision = 1`
当前实现接收前端兼容 Report 对象,核心字段进入 `Report` 表,视频/关键帧引用进入 `ReportMedia` 表,其他扩展字段进入 `metadata`
### `GET /api/reports/:id`
权限:
- 超级管理员可读所有报告。
- 管理员可读本部门报告。
- 医生可读本人报告。
无权限当前返回 `403`
### `PATCH /api/reports/:id`
规则:
- 超级管理员可编辑任何报告。
- 管理员可编辑本部门报告。
- 医生可编辑本人报告。
- 如果原报告状态为 `completed`,每次保存递增 `revision`
- 每次保存创建历史版本。
### `POST /api/reports/:id/complete`
把报告标记为完成。完成前必须校验患者姓名、住院号等必填字段。
当前实现暂未单独开放该接口,前端通过 `PATCH /api/reports/:id` 传入 `status = completed` 完成报告。
### `DELETE /api/reports/:id`
规则:
- 超级管理员可删除全部报告。
- 管理员可删除本部门报告。
- 医生可删除本人报告,包括已完成报告。
建议先做软删除。
当前实现已做软删除,写入 `deletedAt``deletedBy`
### `GET /api/reports/:id/history`
返回报告历史版本:
```json
{
"data": [
{
"id": "hist_1",
"revision": 1,
"content": "<p>旧内容</p>",
"updatedBy": "张医生",
"updatedAt": "2026-05-01T08:00:00.000Z",
"action": "complete_report"
}
]
}
```
### `GET /api/reports/:id/export.json`
返回结构化报告 JSON。权限与查看报告一致。当前确定不需要水印、导出原因、审批或专门导出审计现阶段仍主要由前端 Blob 导出。
## Templates API
### `GET /api/templates`
权限过滤:
- 超级管理员:全部模板。
- 管理员:本部门模板和被授权模板。
- 医生:本部门授权模板和自己的个人模板。
当前实现支持查询参数 `access=use | manage`,分别返回当前用户可使用或可管理的模板。
### `POST /api/templates`
创建模板。
规则:
- 超级管理员可创建部门模板并授权给部门。
- 管理员可创建或修改本部门模板。
- 医生只能创建个人模板,`scope` 必须为 `personal``ownerUserId` 必须是本人。
当前实现由后端根据 Session 用户写入归属部门或归属用户;前端不能伪造 `ownerUserId`
### `PATCH /api/templates/:id`
规则:
- 超级管理员可编辑任何模板。
- 管理员可编辑本部门模板。
- 医生只能编辑自己的个人模板。
### `DELETE /api/templates/:id`
规则同编辑模板。删除部门模板时需确认是否已有报告引用;建议软删除。
当前实现会先把引用该模板的报告 `templateId` 置空,再删除模板。
### `POST /api/templates/:id/copy`
医生复制部门模板为个人模板。
请求:
```json
{
"name": "我的腹腔镜模板"
}
```
响应返回新的 `TemplateDTO``scope = personal`
## Users API
### `GET /api/users`
权限:
- 超级管理员:全部用户。
- 管理员:自己和本部门医生。
- 医生:只返回自己。
当前实现返回前端兼容 `User` 结构,其中后端 `doctor` 会映射为前端历史角色 `user`,并带上由部门模板授权计算出来的 `visibleTemplates/manageableTemplates`
### `POST /api/users`
规则:
- 只有超级管理员可创建管理员。
- 一个部门只能有一个管理员,冲突返回 `409`
- 管理员只能创建本部门医生。
- 创建医生前,该部门必须已有启用管理员。
- 后端使用 Argon2 保存密码哈希,不返回明文密码。
### `PATCH /api/users/:id`
规则:
- 超级管理员可改任何用户。
- 管理员可改本部门医生的基础信息、密码和状态。
- 医生只能改自己的基础资料。
- 只有超级管理员可修改角色、部门和管理员模板授权。
### `DELETE /api/users/:id`
规则:
- 禁止删除当前登录用户。
- 禁止删除默认超级管理员 `admin`
- 有报告、模板、审计等业务关联时返回 `409`,建议改为禁用账号。
## Departments API
### `GET /api/departments`
权限:
- 超级管理员:全部部门。
- 管理员和医生:本人所在部门。
### `POST /api/departments`
只有超级管理员可创建部门。
### `PATCH /api/departments/:id`
只有超级管理员可修改部门名称或编码。
### `DELETE /api/departments/:id`
只有超级管理员可删除无业务关联的部门;不能删除当前登录用户所在部门。
### `PATCH /api/departments/:id/template-permissions`
请求:
```json
{
"visibleTemplates": ["tpl_a"],
"manageableTemplates": ["tpl_b"]
}
```
规则:
- 只有超级管理员可维护部门模板授权。
- `manageableTemplates` 会自动包含使用权。
- 后端写入 `template_department_permissions.canUse/canManage`
## Settings API
### `GET /api/settings/system`
返回当前用户可用的系统设置。当前实现会合并全局设置和个人默认模板,并返回前端兼容 `SystemSettings` 对象。
注意AI 对话和讯飞语音均已改为后端代理。普通用户读取设置时不返回 AI Key、讯飞 APIKey 或讯飞 APISecret超级管理员仍可在设置页维护全局共用 Provider Key 和语音配置。
### `PATCH /api/settings/system`
规则:
- 超级管理员可修改全局设置、AI Provider、语音配置。
- 医生可修改个人默认模板。
- 管理员可修改个人默认模板。
- 非超级管理员提交的其他字段会被忽略或拒绝,只保留个人默认模板。
### `POST /api/settings/system/reset`
只有超级管理员可重置全局系统设置。
## Signature Files API
### `POST /api/users/:id/signature`
请求:
```json
{
"dataUrl": "data:image/jpeg;base64,...",
"filename": "signature.jpg"
}
```
规则:
- 用户本人、本部门管理员、超级管理员可上传或替换签名。
- 当前支持 JPG、PNG、WebP大小限制 1MB。
- 后端写入 `FileResource.kind = SIGNATURE`,并把 `User.signatureFileId` 指向新文件。
响应:
```json
{
"data": {
"file": {
"id": "file_xxx",
"url": "/api/files/file_xxx/content",
"mimeType": "image/jpeg",
"size": 12345
}
}
}
```
### `DELETE /api/users/:id/signature`
清除用户签名并删除后端文件资源。权限同上传。
### `GET /api/files/:id/content`
返回文件二进制内容。当前已实现签名文件读取权限:
- 本人可读自己的签名。
- 本部门管理员可读本部门用户签名。
- 超级管理员可读全部签名。
- 报告相关文件预留继承报告权限。
## AI API
### `GET /api/ai/models`
后端读取全局共用 AI Provider 配置,请求 OpenAI 兼容 `/models` 并返回模型 ID 列表。前端“测试连接”使用该接口,不再直接携带 API Key 请求第三方服务。
### `POST /api/ai/chat`
规则:
- 后端托管第三方模型密钥。
- 请求上下文只能包含当前报告内容和当前报告内用户有权访问的图片/关键帧。
- 不允许跨部门检索报告作为上下文。
- 当前实现接收 OpenAI 兼容 `messages`、温度等参数,后端会用全局 Provider 的 `modelName` 覆盖请求中的 `model`,所有用户共用同一套 key。
## Speech API
### `GET /api/speech/iat` WebSocket
浏览器通过当前登录 Session Cookie 发起 WebSocket upgrade。后端使用同一套 Session 中间件校验登录态,读取 Settings API 中的 `xfSpeechConfig`,连接讯飞 IAT WebSocket 并转发音频帧和识别结果。
客户端发送的首帧只需要包含音频 `data`
```json
{
"data": {
"status": 0,
"format": "audio/L16;rate=16000",
"encoding": "raw",
"audio": "base64-pcm"
}
}
```
后端会在首帧补齐:
```json
{
"common": { "app_id": "server-side-app-id" },
"business": { "language": "zh_cn", "domain": "iat", "accent": "mandarin" }
}
```
规则:
- 未登录的 upgrade 返回 `401`
- 未配置 APPID/APIKey/APISecret 时,代理向客户端返回错误消息并关闭连接。
- 前端不得保存或拼接讯飞鉴权 URL。
- 上游讯飞返回的识别消息原样转发给客户端。
## Files API
### `GET /api/files`
查询参数:
```text
kind?: TEMPLATE_ASSET | VIDEO | FRAME | REPORT_EXPORT
```
返回当前租户内可读文件。`TEMPLATE_ASSET` 当前作为模板图片资源,登录用户可读取。
### `POST /api/files`
通用文件上传接口。当前已用于模板图片资源、视频和关键帧,后续继续承载报告图片和导出文件。
请求:
```json
{
"kind": "TEMPLATE_ASSET",
"filename": "logo.png",
"dataUrl": "data:image/png;base64,...",
"reportId": "optional_report_id"
}
```
返回:
```json
{
"data": {
"file": {
"id": "file_xxx",
"filename": "logo.png",
"mimeType": "image/png",
"size": 1234,
"url": "/api/files/file_xxx/content",
"createdAt": "2026-05-02T00:00:00.000Z"
}
}
}
```
### `DELETE /api/files/:id`
删除当前用户可管理的文件。超级管理员可删全部,同 owner 可删自己的文件,管理员可删除模板图片资源。
## Library API
### `GET /api/library/fields`
返回字段库:
```ts
interface FieldLibraryDTO {
formFields: FormField[];
customTimeFormats: string[];
multiSelectOptions: Record<string, string[]>;
anesthesiaOptions: string[];
}
```
### `PATCH /api/library/fields`
保存字段库。当前第一版保存为租户全局 `SystemSetting.key = fieldLibrary`,前端仍会同步本地兼容缓存。
文件权限继承业务对象:
- 报告文件继承报告权限。
- 模板图片资源当前登录用户可读取,删除权限限制为超级管理员、管理员或 owner。
- 签名文件已先行通过 `POST /api/users/:id/signature` 实现。
## 后续测试落点
后端骨架建立后,应把本文档转为真实测试:
- Auth/HTTP 集成测试。
- RBAC policy 单元测试。
- Reports API 按角色过滤测试。
- Report revision 递增测试。
- Templates API 部门模板和个人模板测试。
- Settings API 保存和默认模板测试。
- Signature Files API 上传和读取权限测试。
- Library API 字段库保存测试。
- Generic Files API 上传、列表和删除测试。
- AI 代理上下文隔离测试。
- Speech WebSocket 未登录拒绝、首帧注入和上游错误转发测试。

461
docs/backendization-plan.md Normal file
View File

@@ -0,0 +1,461 @@
# 后端化与用户化改造方案
本文基于当前迁移期版本整理需要改动的范围。当前系统已完成主业务后端化,目标是继续把开发回退、审计、安全、部署和运维能力收紧为“多用户、可审计、可部署、可维护”的前后端系统。
## 改造目标
当前系统已经有较完整的页面、业务流程和后端 API。仍需关注的迁移期边界包括
- 用户、密码、权限、工作台统计、报告、报告媒体关系、模板、字段库、模板图片、用户和部门权限已优先接入后端 API`localStorage.users` 仅作为开发回退兼容缓存存在。
- 设置和部分兼容缓存仍存在 `localStorage`;生产构建默认关闭本地回退。
- 签名、模板图片资源、视频和关键帧文件已优先进入后端文件资源;报告媒体引用已通过 `ReportMedia` 关系表保存。
- AI Key 和讯飞语音密钥已进入后端代理链路。
- 权限判断主要在前端页面里完成。
后端化后应达到:
- 登录认证由后端完成。
- 所有数据以用户、部门、医院/租户为边界存储。
- 权限在后端强校验,前端只做展示控制。
- 文件和图片从 Base64 本地存储迁移到后端文件服务或对象存储。
- AI 与语音等密钥由后端托管,前端不接触真实密钥。
- 报告查看、编辑、删除等关键行为有审计记录;报告导出按权限控制,不要求专门导出审计。
## 技术栈决策
后端化第一阶段建议采用 TypeScript 全栈方案,优先保证权限边界、模块结构、数据迁移和测试可维护。
| 层级 | 选择 | 说明 |
| --- | --- | --- |
| 前端 | React 19 + TypeScript + Vite + Tailwind CSS | 保留现有页面主体,逐步把 `localStorage` 读写替换为 API 调用。 |
| 后端框架 | NestJS + TypeScript | 适合按认证、报告、模板、用户、设置、文件、AI 等模块拆分Guard/Interceptor/Service 结构适合集中权限控制和审计。 |
| 数据库 | PostgreSQL | 适合报告、历史版本、权限关系、审计日志等关系型数据;支持事务、索引和后续统计。 |
| ORM/迁移 | Prisma | 类型生成清晰,迁移和 seed 成本低,便于前后端共享 DTO 思路。 |
| 认证 | HttpOnly Cookie SessionAccess Token 仅作为可选扩展 | 前端不直接持久化敏感 token后端维护会话、退出和失效。第一阶段可用数据库会话表后续再引入 Redis。 |
| 密码 | Argon2 哈希 | 禁止明文密码进入前端或日志。 |
| 文件存储 | 本地文件目录 + `files` 表,预留 MinIO/S3 兼容接口 | 开发和院内部署先降低成本;生产可切换对象存储。 |
| 输入校验 | Zod 或 NestJS DTO 校验 | 所有 API 入参都必须校验,尤其是 HTML、文件、权限相关参数。 |
| 测试 | Vitest/Testing Library + Playwright + 后端单元/集成测试 | 保留现有前端测试;新增后端 policy/service/API 测试E2E 后续从 localStorage seed 改为 API/test DB seed。 |
| 部署 | Docker Compose | 前端静态资源、NestJS API、PostgreSQL、可选 Redis/MinIO 分服务部署。 |
暂不建议第一阶段使用微服务、复杂租户系统或后端抽帧服务。抽帧可以先继续留在前端 canvas生成关键帧后上传后端文件接口。
## 当前后端骨架
已新增 `server/` 目录作为后端化第一阶段基础:
- `server/src/main.ts`NestJS 启动入口,设置 `/api` 前缀、CORS、Cookie Session、数据库 Session Store 和统一错误响应。
- `server/src/dashboard``GET /api/dashboard/stats`,按角色范围统计报告、模板、用户和趋势。
- `server/src/audit`:第一版审计服务,记录登录、报告、模板、用户、设置和文件修改。
- `server/src/health``GET /api/health` 健康检查。
- `server/src/auth``POST /api/auth/login``GET /api/auth/me``POST /api/auth/logout` 认证接口。
- `server/src/reports``GET/POST/PATCH/DELETE /api/reports` 报告接口,含角色范围过滤、历史版本、软删除和报告媒体关系同步。
- `server/src/templates``GET/POST/PATCH/DELETE /api/templates` 模板接口,含 `access=use/manage`、部门模板、部门授权和个人模板。
- `server/src/users``GET/POST/PATCH/DELETE /api/users``/api/departments` 接口,含用户范围过滤、管理员唯一性、医生创建约束和部门模板授权。
- `server/src/settings``GET/PATCH /api/settings/system` 和重置接口,保存全局设置与个人默认模板。
- `server/src/files`:通用文件上传、列表、删除、受控读取接口;签名文件会额外关联 `User.signatureFileId`
- `server/src/library``GET/PATCH /api/library/fields` 字段库接口,保存字段、时间格式和选项库。
- `server/src/ai``GET /api/ai/models``POST /api/ai/chat`,使用全局共用 Provider Key 代理 OpenAI 兼容接口。
- `server/src/speech``GET /api/speech/iat` WebSocket 代理,使用 Session 校验用户,后端生成讯飞鉴权 URL 并转发音频帧和识别结果。
- `server/src/prisma`PrismaService使用 Prisma 7 的 PostgreSQL driver adapter。
- `server/src/permissions`:报告、模板、用户和管理员创建权限策略,已配套单元测试。
- `server/prisma/schema.prisma`PostgreSQL 数据模型,覆盖租户、部门、用户、业务 Session、`AppSession`、报告、报告媒体、历史、模板、文件、设置和审计日志。
- `server/prisma/seed.ts`:写入默认医院、部门和 `admin``manager``0001` 三个账号。
当前前端登录、Dashboard、报告读写、报告媒体关系、模板读写、字段库、模板图片资源、视频/关键帧文件、用户管理、部门模板授权、系统设置、签名文件、AI 对话代理和语音听写代理已接入后端认证/API。真实 PostgreSQL 服务集成测试已覆盖 Auth、Dashboard、Reports、ReportMedia、Templates 和 Files 核心服务,下一步应逐步替换剩余开发回退数据访问。
## 总体架构建议
### 前端
保留当前 React + Vite 页面主体,逐步把 `storage.get/set` 替换成 API 调用。
建议新增:
- `src/api/`:统一 API client。
- `src/auth/`登录态、Token、权限上下文。
- `src/hooks/`:数据获取和变更 hook。
- `src/services/`报告、模板、用户、系统设置、文件、AI 服务封装。
### 后端
建议先采用 NestJS 单体后端,避免一开始拆太复杂:
- Node.js + NestJS + TypeScript。
- PostgreSQL + Prisma。
- Redis 可选,用于会话、限流、任务状态。
- 对象存储可选,院内部署可先用本地文件目录,生产建议 MinIO/S3 兼容存储。
### 数据边界
后端需要引入明确的组织边界:
- `tenant`:医院或部署实例。
- `department`:科室。
- `user`:用户账号。
- `role`:超级管理员、管理员、医生。
- `permission`:模板权限、报告权限、系统配置权限。
如果项目只给单医院内网使用,可以先不做复杂租户模型,但数据库字段建议预留 `tenant_id`
## 数据模型改造
### 用户与认证
新增表:
- `users`
- `departments`
- `roles` 或直接使用枚举字段
- `user_sessions` 或使用 JWT + refresh token
- `user_template_permissions`
当前 `User` 需要变化:
- `password` 改为 `password_hash`,禁止前端返回。
- `signature` 从 Base64 改为 `signature_file_id``signature_url`
- `visibleTemplates/manageableTemplates` 拆成权限关联表。
- `status` 保留。
- 增加 `last_login_at``created_by``updated_by`
### 报告
新增表:
- `reports`
- `report_histories`
- `report_media`
- `report_exports` 可选
当前 `Report` 需要变化:
- `content` 仍可保存 HTML但必须后端清洗。
- `videos.url` 不再长期依赖浏览器对象 URL后端保存 `ReportMedia.fileId/url` 并返回受控文件 URL。
- `capturedFrames.dataUrl` 改成 `ReportMedia.fileId/url` 派生出的图片 URL。
- `author/authorName` 改成 `author_id`,展示时 join 用户表。
- `createdAt/updatedAt` 统一为 ISO 时间戳。
- `status` 保留 `draft/completed`
- `history` 拆到 `report_histories`
### 模板与字段
新增表:
- `templates`
- `template_versions` 可选
- `form_fields`
- `template_fields` 可选
- `image_assets`
当前 `Template` 需要变化:
- `content` 保存 HTML但导入和保存时后端清洗。
- `fields` 不建议长期嵌在模板对象里,可拆出字段配置版本。
- `author` 改成 `author_id`
- 增加 `department_id``tenant_id``is_global``status`
### 系统设置
新增表:
- `system_settings`
- `ai_provider_configs`
- `speech_provider_configs`
当前 `SystemSettings` 需要变化:
- AI Key、讯飞密钥只存后端前端只看到是否已配置和脱敏信息普通用户请求设置时不返回真实密钥。
- 抽帧设置可以按全局、科室或用户默认值分层。
- 默认模板可以改成用户级配置 `user_preferences.default_template_id`
### 文件资源
新增表:
- `files`
字段建议:
- `id`
- `tenant_id`
- `owner_id`
- `kind``signature``template_asset``video``frame``report_export`
- `filename`
- `mime_type`
- `size`
- `storage_key`
- `checksum`
- `created_at`
## API 改造清单
### 认证
- `POST /api/auth/login`
- `POST /api/auth/logout`
- `POST /api/auth/refresh`
- `GET /api/auth/me`
- `PATCH /api/auth/password`
### 用户
- `GET /api/users`
- `POST /api/users`
- `GET /api/users/:id`
- `PATCH /api/users/:id`
- `DELETE /api/users/:id`
- `POST /api/users/:id/signature`(待实现)
- `GET /api/departments`
- `POST /api/departments`
- `PATCH /api/departments/:id`
- `DELETE /api/departments/:id`
- `PATCH /api/departments/:id/template-permissions`
### 模板
- `GET /api/templates`
- `POST /api/templates`
- `GET /api/templates/:id`
- `PATCH /api/templates/:id`
- `DELETE /api/templates/:id`
- `POST /api/templates/import`
- `GET /api/templates/:id/export`
- `POST /api/templates/batch-export`
- `GET /api/form-fields`
- `PUT /api/form-fields`
### 报告
- `GET /api/reports`
- `POST /api/reports`
- `GET /api/reports/:id`
- `PATCH /api/reports/:id`
- `DELETE /api/reports/:id`
- `POST /api/reports/:id/complete`
- `GET /api/reports/:id/history`
- `POST /api/reports/:id/restore`
- `GET /api/reports/:id/export.json`
- `POST /api/reports/export`
### 文件与视频
- `POST /api/files`
- `GET /api/files`
- `GET /api/files/:id`
- `DELETE /api/files/:id`
当前第一版已经保留前端 canvas 抽帧,并把视频和生成的关键帧通过通用文件 API 上传为 `VIDEO` / `FRAME` 文件资源。后续如果要做后端视频服务,再新增专用 `videos` 模块,用于转码、异步抽帧、断点续传和媒体引用关系维护。
### AI 与语音
- `POST /api/ai/chat`
- `GET /api/ai/providers`
- `PATCH /api/ai/providers/:id`
- `POST /api/ai/providers/:id/test`
- `GET /api/speech/config`
- `PATCH /api/speech/config`
- `POST /api/speech/token``GET /api/speech/ws-auth`
前端不再直接调用第三方 AI 接口,不再保存真实 API Key。
### 系统设置
- `GET /api/settings`
- `PATCH /api/settings`
- `POST /api/settings/reset`
清空浏览器本地数据只作为开发/显式回退模式能力;如果未来需要“重置全部后端数据”,应作为独立维护接口谨慎保留,只允许超级管理员在维护模式下执行,并写审计日志。
## 前端改造清单
### 第一批必须改
1. 新增 API Client
- 统一 base URL、认证头、错误处理、401 刷新或跳登录。
- 当前已新增 `src/api/client.ts`,支持 `{ data }` envelope 解包、Cookie credentials 和错误 envelope。
2. 替换登录逻辑
- 登录调用 `/api/auth/login`
- 当前用户来自 `/api/auth/me`
- 当前已完成登录 API 接入;默认模板、字段、图片和本地用户初始化仍暂时保留,供未迁移页面使用。
3. 替换 `currentUser`
-`localStorage.currentUser` 改成 Auth Context 或全局 store。
- 本地只保存 token 或 session 标识。
- 当前已新增 Auth Context但仍会同步 `currentUser` 兼容旧页面;后续页面完成 API 迁移后再移除该缓存依赖。
4. 替换报告数据
- `ReportManage``GET /api/reports`
- `ReportView``GET /api/reports/:id`
- `ReportEditor` 保存用 `POST/PATCH /api/reports`
- 历史恢复用后端历史 API。
- 当前前三项已接入;历史恢复仍通过返回的兼容 `history``sessionStorage.restore_${reportId}` 进入编辑器。
5. 替换模板数据
- `TemplateManage` 全部从 API 获取和保存。
- 模板权限由后端返回可见/可管理范围。
- 当前已接入模板列表、创建、编辑、保存内容、删除、医生个人模板、字段库和模板图片资源。
6. 替换用户管理
- `UserManage` 调用用户 API。
- 密码不再回显,也不进入前端用户对象。
- 当前已接入用户列表、新增、编辑、删除、部门模板授权和签名文件上传。
7. 替换系统设置
- 当前已接入 Settings API保存全局设置和个人默认模板。
- 后续应只展示脱敏密钥;保存时发送新密钥,后端加密存储并由代理使用。
### 第二批建议改
1. 文件上传
- 签名、模板图片、视频和关键帧已完成第一版文件 API报告媒体引用已通过 `ReportMedia` 正规化,报告正文内手动插入图片仍需改为上传文件。
- 报告 HTML 中引用文件 URL 或受控下载 URL。
2. 报告内容清洗
- 前端仍可编辑 HTML。
- 保存前后端做白名单清洗。
- 渲染时避免直接信任历史 HTML。
3. 草稿同步
- 当前草稿在本地,可改成服务端 draft autosave。
- 防止换浏览器或清缓存丢草稿。
4. AI 代理
- `ReportEditor``fetch(chat/completions)` 改成 `/api/ai/chat`
- 后端记录请求摘要和错误,避免前端暴露密钥。
- 当前已接入 `/api/ai/models``/api/ai/chat`,所有用户共用全局 Provider Key仍待第三方调用摘要和错误追踪落库。
5. 审计日志
- 登录、编辑、完成、删除、重置、权限变更等关键操作写日志。
- 报告导出不要求水印、导出原因、审批或专门导出审计。
## 权限模型建议
### 角色能力
| 能力 | 超级管理员 | 管理员 | 医生 |
| --- | --- | --- | --- |
| 管理全局设置 | 是 | 否 | 否 |
| 管理 AI/语音密钥 | 是 | 否 | 否 |
| 管理全部用户 | 是 | 否 | 否 |
| 管理同部门医生 | 是 | 是 | 否 |
| 管理模板 | 全部 | 授权模板 | 否 |
| 使用模板 | 全部 | 可见模板 | 可见模板 |
| 查看报告 | 全部 | 本部门 | 本人 |
| 编辑报告 | 全部 | 本部门 | 本人,包括已完成报告 |
| 删除报告 | 全部 | 本部门,包括已完成报告 | 本人,包括已完成报告 |
| 导出报告 | 全部 | 本部门 | 本人 |
已确定权限规则以 [权限设计](./permissions.md) 为准:
- 超级管理员全权限,可修改任何数据。
- 超级管理员默认属于 `admin` 部门。
- 管理员只能看、改、删本部门报告。
- 医生完成报告后可以继续修改,也可以删除本人已完成报告。
- 完成报告后的每次修改必须增加修订版本号。
- 模板按部门授权;管理员可修改本部门模板;医生可复制/新建个人模板。
- 一个部门只能有一个管理员,且只有超级管理员能创建或授权管理员。
- AI 只能接收当前报告内容作为上下文。
### 后端强校验
每个 API 都必须根据当前用户进行后端权限判断。前端菜单隐藏只是体验优化,不能作为安全依据。
## 安全改造清单
- 密码使用 bcrypt/argon2 哈希。
- Token 使用 HttpOnly Cookie 或短期 access token + refresh token。
- API 增加 CSRF 或 SameSite 策略。
- HTML 内容用 DOMPurify 或服务端白名单清洗。
- 文件上传限制 MIME、大小、扩展名并做病毒扫描或隔离策略。
- AI/语音密钥后端加密存储。
- 敏感日志脱敏,禁止记录完整病历到普通日志。
- 报告导出当前不要求水印、原因、审批或专门审计;后续重点是权限控制、错误追踪和后端导出能力。
- 对报告、模板、用户操作增加审计日志。
- 增加数据库备份和恢复策略。
## 测试改造清单
### 后端测试
- Auth登录、登出、刷新、密码错误、禁用用户。
- RBAC不同角色访问用户、模板、报告、设置 API。
- Reports新增、编辑、完成、历史、删除、导出。
- Templates新增、导入、导出、权限过滤、字段配置。
- Files上传、读取、权限、大小限制。
- Settings密钥脱敏、配置保存、抽帧设置。
- AI Proxy请求构造、错误处理、密钥不下发。
### 前端测试
保留现有 Vitest 测试,并新增:
- API client 401/错误处理。
- Auth Context 登录态恢复。
- 报告列表 API 数据渲染。
- 模板权限数据渲染。
- 用户管理表单 API 提交。
### E2E 测试
建议新增 Playwright
- 管理员登录、创建医生、分配模板。
- 医生登录、新建报告、保存草稿、完成报告。
- 报告管理搜索、查看、导出。
- 模板新增、字段插入、报告套用模板。
- 视频上传和抽帧可用性。
## 迁移步骤建议
### 阶段 0冻结当前功能
- 保留现有 `localStorage` 版本作为 baseline。
- 当前 Vitest 测试继续作为前端契约测试。
- 增加功能验收清单,避免后端化时漏功能。
### 阶段 1后端骨架
- 建后端项目、数据库迁移、基础表结构。
- 实现登录、当前用户、用户列表、模板列表、报告列表。
- 前端新增 API client但先不大规模替换页面。
### 阶段 2认证和用户后端化
- 替换 `Login``Sidebar``UserManage`
- 移除前端默认账号初始化。
- 前端不再保存密码和完整用户列表。
### 阶段 3模板和报告后端化
- 替换 `TemplateManage``ReportManage``ReportView``ReportEditor` 保存逻辑。
- 报告历史改为后端历史表。
- 字段配置由后端提供。
### 阶段 4文件和关键帧后端化
- 签名、图片资源、关键帧、视频统一上传。
- 报告 HTML 中从 Data URL 改为文件 URL 或受控资源地址。
### 阶段 5AI/语音代理与审计
- 前端调用后端 AI API。
- 后端托管 AI 密钥;语音密钥仍待代理化。
- 增加查看日志、第三方代理调用摘要和错误追踪;报告导出不要求专门审计,后端导出能力另行实现。
### 阶段 6生产化
- 部署数据库、对象存储、后端服务。
- 配置备份、监控、日志、权限审计。
- 做安全扫描、数据迁移演练和院内验收。
## 需要优先决策的问题
1. 后端技术栈Express、NestJS、Fastify还是已有院内后端技术
2. 数据库PostgreSQL、MySQL还是院内指定数据库
3. 部署方式:单机 Docker Compose还是院内 Kubernetes/服务器?
4. 文件存储本地磁盘、MinIO、S3 兼容,还是院内文件系统?
5. 租户模型:只支持单医院,还是要支持多医院/多院区?
6. 报告权限:管理员是否只能看同部门,还是可以按模板/患者/手术组授权?
7. 完成报告后是否允许医生修改?是否需要审批或留痕版本?
8. AI 和语音是否必须在院内网代理,是否允许公网访问第三方模型?

67
docs/data-storage.md Normal file
View File

@@ -0,0 +1,67 @@
# 数据与存储
## 存储封装
`src/utils/storage.ts` 提供统一读写:
- `storage.get<T>(key, fallback)`:从 `localStorage` 读取 JSON。
- `storage.set<T>(key, value)`:写入 JSON。
- `storage.remove(key)`:删除本地键。
- `storage.getSession/setSession/removeSession`:读写 `sessionStorage`
`systemSettings` 会经过简单 XOR + Base64 混淆,并兼容读取历史明文 JSON。当前系统设置已优先写入后端 `SystemSetting` 表。本地兼容回退由 `VITE_ENABLE_LOCAL_FALLBACK` 控制,开发模式默认启用,生产构建默认关闭。
## localStorage 键
| 键 | 数据 | 来源/用途 |
| --- | --- | --- |
| `currentUser` | `User` | 当前登录用户兼容缓存。登录认证来自后端 Session缓存用于尚未后端化的页面。 |
| `users` | `User[]` | 用户兼容缓存。登录成功和用户管理页会用后端用户信息同步用户、角色、部门、模板授权和签名 URL旧签名 Data URL 和旧演示密码字段可能仍暂存在本地。 |
| `templates` | `Template[]` | 模板兼容缓存。模板读写已优先走后端 Templates API缓存用于离线回退、旧数据和未迁移页面。 |
| `reports` | `Report[]` | 报告兼容缓存。报告读写已优先走后端 Reports API缓存用于离线回退、旧数据和未迁移页面。 |
| `systemSettings` | `SystemSettings` | 抽帧、AI、语音和默认模板配置的兼容缓存主路径优先走 `/api/settings/system`。 |
| `formFieldsConfig` | `FormField[]` | 字段库兼容缓存;主路径优先走 `/api/library/fields`。 |
| `imageAssets` | `{ id; name; dataUrl }[]` | 模板/报告可插入图片资源兼容缓存;模板图片主路径优先走 `/api/files?kind=TEMPLATE_ASSET`。 |
| `customTimeFormats` | `string[]` | 模板字段可选时间格式兼容缓存;主路径优先走 `/api/library/fields`。 |
| `multiSelectOptions` | `Record<string, string[]>` | 医生、助手、麻醉师等多选字段选项兼容缓存;主路径优先走 `/api/library/fields`。 |
| `anesthesiaOptions` | `string[]` | 麻醉方式选项兼容缓存;主路径优先走 `/api/library/fields`。 |
| `reportEditorDraft_${username}` | 草稿对象 | 某用户当前未提交编辑器草稿。 |
## sessionStorage 键
| 键 | 数据 | 用途 |
| --- | --- | --- |
| `restore_${reportId}` | HTML 字符串 | 从历史版本恢复时临时传递内容给编辑器。 |
## 初始化流程
开发模式下,登录页 `Login` 首次加载时会补齐以下迁移期数据:
- 默认模板 `surgery`
- 默认用户:`admin``manager``0001`
- 默认表单字段 `DEFAULT_FORM_FIELDS`
- 默认图片资源 `logo_square.png`
- 默认系统设置包括抽帧位置、AI Provider、自动插入策略和语音配置。
真实账号认证不再读取 `users.password`,而是调用后端 `/api/auth/login`。用户管理页已优先调用 `/api/users`,但 `users.password` 字段仍可能存在于旧本地缓存和开发回退数据中,后续应随迁移脚本移除。
## 数据生命周期
- 报告保存为草稿或完成态时优先写入后端;开发回退开启时会同步 `reports` 缓存API 不可用时才写入本地 `reports`
- 新建报告成功保存后会清理当前用户草稿。
- 编辑已有报告时会把旧内容推入 `history`
- 开发回退模式下,系统设置页“重置全部数据”会执行 `localStorage.clear()` 并刷新页面;生产构建默认阻止把该操作误认为后端数据重置。
## 迁移注意
- 旧版 AI 设置可能是扁平字段,`SystemSettings` 页面会迁移到 `aiProviders` 结构。
- 个人模板通过 `Template.scope = "personal"``Template.ownerUser` 归属医生本人;部门模板通过 `Template.scope = "department"``Template.department` 标记部门。
- 后端模板使用 `templates.scope``owner_department_id``owner_user_id``template_department_permissions` 表达同样权限;前端字段作为兼容 DTO 返回。
- 后端用户使用 `users.department_id``users.role``template_department_permissions` 计算前端兼容的 `visibleTemplates/manageableTemplates`
- 后端设置使用 `SystemSetting.scope = global` 保存全局设置,使用 `scope = user:<id>` 保存个人默认模板。
- 后端字段库使用 `SystemSetting.scope = global``key = fieldLibrary` 保存字段、时间格式和选项库。
- 后端签名文件使用 `FileResource.kind = SIGNATURE``User.signatureFileId` 关联,文件内容由 `/api/files/:id/content` 受控读取。
- 后端模板图片资源通过 `POST /api/files``kind = TEMPLATE_ASSET` 写入 `FileResource`,模板和报告编辑器优先读取 `/api/files?kind=TEMPLATE_ASSET`
- 报告修订版本通过 `Report.revision` 保存;已完成报告每次再次保存会递增版本,并把旧版本写入 `Report.history`
- 后端视频和关键帧文件通过 `POST /api/files``kind = VIDEO/FRAME` 写入 `FileResource`;报告保存时通过 `ReportMedia` 关系表保存视频/关键帧的 `fileId/url`、排序和抽帧信息。`Report.metadata` 只保留患者等前端扩展字段,旧数据里的媒体数组仍可作为兼容回退读取。
- 报告日期目前部分逻辑使用 `createdAt` 的日期字符串,部分逻辑会按 `Date` 解析 ISO 字符串,后续建议统一为 ISO 时间戳加展示格式化。

92
docs/deployment.md Normal file
View File

@@ -0,0 +1,92 @@
# 部署运行
## 本地开发
前端:
```bash
npm install
npm run dev
```
开发服务监听 `0.0.0.0:3001`
开发模式下 Vite 会把 `/api` 代理到 `VITE_API_PROXY_TARGET`,默认 `http://localhost:3000`
后端:
```bash
cp .env.example .env
npm run prisma:generate
npm run server:dev
```
本地直接运行 API 默认监听 `0.0.0.0:3000`,健康检查为:
```text
http://localhost:3000/api/health
```
如需连接真实 PostgreSQL
```bash
npm run prisma:migrate
npm run prisma:seed
```
## 质量检查
```bash
npm run lint
npm run test
npm run server:build
npm run build
```
当前 `lint` 实际执行 `tsc --noEmit`,用于 TypeScript 类型检查。
## 环境变量
复制示例文件:
```bash
cp .env.example .env.local
```
AI 和语音密钥由后端 Settings API 保存并由代理使用,前端不再注入 Gemini 旧环境变量。
后端新增变量:
- `API_PORT`API 监听端口。本地直接运行默认 `3000`Docker Compose 暴露到宿主机的默认端口是 `3002`
- `CORS_ORIGIN`:允许跨域携带 Cookie 的前端来源。
- `DATABASE_URL`PostgreSQL 连接串。Docker Compose 暴露到宿主机的默认端口是 `5433`,容器内部仍使用 `db:5432`
- `SESSION_SECRET`Session Cookie 签名密钥。
- `SESSION_COOKIE_SECURE`:是否只通过 HTTPS 发送 Session Cookie。本地 HTTP/Compose 默认 `false`,生产 HTTPS 应设为 `true`
- `FILE_STORAGE_DIR`后端文件目录。Docker Compose 默认 `/app/uploads`,并挂载到 `uploads_data` volume。
- `VITE_API_PROXY_TARGET`:前端开发服务器 `/api` 代理目标。直接运行后端用 `http://localhost:3000`;连接 Docker Compose API 用 `http://localhost:3002`
- `VITE_ENABLE_LOCAL_FALLBACK`:生产构建是否允许本地兼容回退。开发模式默认启用,生产默认关闭。
## Docker 部署
```bash
docker-compose up -d --build
```
默认通过 Nginx 暴露 `http://localhost:4002`
当前 Compose 服务:
- `web`:前端静态站点,暴露 `http://localhost:4002`
- `api`NestJS API暴露 `http://localhost:3002`
- `db`PostgreSQL 16暴露 `localhost:5433`
- `uploads_data`:后端文件持久化 volume。
构建流程:
- `Dockerfile` 使用 Node 构建 `dist/`
- 运行阶段使用 `nginx:alpine` 托管静态文件。
- `Dockerfile.server` 构建并运行 NestJS API。
- `nginx.conf` 已配置 SPA 路由回退和 `/api` 反向代理。
## 部署边界
当前后端已承载登录认证、数据库 Session、Dashboard、报告、报告媒体关系、模板、字段库、通用文件/签名文件、视频/关键帧文件、用户管理、部门模板授权、系统设置、AI 代理、语音代理、HTML 清洗和第一版审计。生产化前还需要补齐查看日志、第三方代理调用摘要、限流、备份恢复、对象存储和更完整的旧数据迁移。

105
docs/design.md Normal file
View File

@@ -0,0 +1,105 @@
# 设计文档
## 总体架构
应用是一个 Vite 构建的 React SPA。入口文件为 `src/main.tsx`,路由集中在 `src/App.tsx`。页面级功能位于 `src/pages`,公共侧边栏位于 `src/components/Sidebar.tsx`,数据类型集中在 `src/types.ts`,浏览器存储封装在 `src/utils/storage.ts`
```text
src/
App.tsx 路由定义
main.tsx React 挂载入口
index.css Tailwind 与全局样式
api/ 前端 API client
auth/ 登录态、后端用户兼容映射
types.ts 核心数据类型和默认配置
components/Sidebar.tsx 主导航与登出
pages/ 业务页面
utils/ 存储、打印、默认模板内容
```
## 路由设计
| 路由 | 页面 | 用途 |
| --- | --- | --- |
| `/` | `Login` | 登录和首次数据初始化。 |
| `/dashboard` | `Dashboard` | 工作台统计和快捷入口。 |
| `/report-editor` | `ReportEditor` | 新建报告,或通过 `?id=` 编辑报告。 |
| `/report-manage` | `ReportManage` | 报告检索、历史、导出和删除。 |
| `/report-view/:id` | `ReportView` | 报告只读查看和打印。 |
| `/template-manage` | `TemplateManage` | 模板和字段库维护。 |
| `/user-manage` | `UserManage` | 用户、角色、部门和模板权限管理。 |
| `/system-settings` | `SystemSettings` | 抽帧、AI、语音和默认模板设置。 |
未匹配路由会重定向到登录页。除登录页外,其余路由由 `RequireAuth` 包裹:优先等待 `AuthProvider` 从后端 `/api/auth/me` 恢复会话;没有后端会话和本地兼容缓存时回到 `/`
## 数据设计
核心类型在 `src/types.ts`
- `User`:用户账号、角色、部门、状态、模板权限和签名。
- `Report`报告元信息、患者信息、HTML 正文、视频、关键帧、作者、状态和历史版本。
- `Template`模板名称、描述、HTML 内容、作者和字段配置。
- `FormField`:表单字段定义,支持文本、单选、多选、日期、时间、签名、图片等类型。
- `SystemSettings`抽帧策略、默认模板、AI Provider、语音配置和自动插入设置。
登录认证、报告读写、报告媒体引用、模板读写、字段库、模板图片资源、视频/关键帧文件、用户管理、部门模板授权、系统设置和签名文件已有服务端校验。报告媒体通过 `ReportMedia` 关系表关联 `FileResource`,页面逻辑仍承担一部分迁移期回退约束。
## 状态与持久化
应用使用 React 本地状态管理页面交互。认证态由后端 Session Cookie 维持,前端 `AuthProvider` 会把当前用户同步到 `localStorage.currentUser` 作为迁移期兼容缓存。报告读写已优先走后端 Reports API并同步 `localStorage.reports` 作为开发/显式回退缓存;模板读写已优先走后端 Templates API并同步 `localStorage.templates` 作为开发/显式回退缓存;字段库已优先走 Library API并同步 `formFieldsConfig` 等兼容缓存;模板图片资源已优先走 Files API并同步 `imageAssets` 兼容缓存;用户和部门模板授权已优先走 Users/Departments API并同步 `localStorage.users` 作为兼容缓存;系统设置已优先走 Settings API并同步 `localStorage.systemSettings` 作为开发/显式回退缓存。`storage.get/set` 对常规键做 JSON 读写,对 `systemSettings` 做简单 XOR + Base64 存储;这不是安全加密,只能降低直接可读性。生产构建默认关闭本地回退。
报告编辑器额外使用 `reportEditorDraft_${username}` 保存未提交草稿,使用 `sessionStorage``restore_${reportId}` 暂存历史版本恢复内容。
## 权限设计
当前迁移期权限检查分两层:登录、报告、模板、用户和部门模板授权由后端校验;页面入口和部分业务按钮权限仍保留前端 UI 展示层:
- 未登录用户跳回 `/`
- 医生在报告管理和查看页只能访问本人报告。
- 模板管理不允许医生进入。
- 用户管理只允许超级管理员和管理员进入;后端再次校验可管理范围。
- 管理员只能管理同部门医生或自己,不能创建管理员或跨部门修改用户。
前端入口隐藏不能作为生产级安全边界,所有已后端化 API 都必须以服务端校验为准。
后端化后的目标权限模型以“角色 + 部门 + 模板授权”为主,详细规则见 [权限设计](./permissions.md)。当前已确定规则:
- 超级管理员拥有全权限,可以查看和修改所有用户、报告、模板、系统配置和权限配置。
- 管理员只能查看、编辑和删除本部门报告。
- 医生默认只能查看本人报告。
- 医生完成报告后仍允许修改,也可以删除本人已完成报告;完成后的每次修改必须保留历史版本并递增修订版本号。
- 模板按部门授权;管理员可以修改本部门模板;医生不可修改部门模板,但可以复制/新建个人模板。
- 一个部门只能有一个管理员,且只有超级管理员能创建或授权管理员。
- AI 只能接收当前报告内容作为上下文,不读取跨部门报告。
- 后端必须对每个 API 做强权限校验,前端菜单隐藏只作为体验优化。
后端查询层需要把权限规则落到数据过滤:
- 报告列表:超级管理员不加部门限制;管理员按 `department_id` 过滤;医生按 `author_id` 过滤。
- 报告详情/编辑/删除:读取报告后再次校验角色、部门和作者关系。
- 模板列表:超级管理员返回全部模板;管理员返回本部门模板和被授权模板;医生返回本部门授权模板和个人模板。
- 用户列表:超级管理员返回全部用户;管理员返回自己和本部门医生;医生只能读取自己。
- 部门模板授权:超级管理员维护部门可用/可管理模板;管理员和医生只读取本人部门。
## 报告编辑设计
报告正文是一个 `contentEditable` HTML 编辑器。模板中通过 `.field-value[data-bind="fieldKey"]` 标记智能字段,侧边表单更新时同步到正文;正文内字段被编辑时也会反向更新表单状态。
图片占位符通过 `.image-placeholder` 表示:
- `data-mode="frame"` 或无 `manual` 标记的占位符可接收关键帧。
- `data-mode="manual"` 用于 Logo、签名等静态图片不接收视频关键帧拖入。
AI 可编辑区域通过 `.ai-region[data-ai-id]` 和内部 `.ai-content` 定位。AI 返回 `updatedHtml` 后,系统先显示差异确认,再注入目标区域。
## 打印导出设计
`src/utils/print.ts` 通过隐藏 iframe 写入报告 HTML 和打印样式然后调用浏览器打印。PDF 导出依赖浏览器“另存为 PDF”不是服务端生成 PDF。
JSON 导出使用 Blob 下载,报告导出主要包含元信息和 `DEFAULT_FORM_FIELDS` 中定义的字段。
## 外部服务设计
- AI 服务通过后端 `/api/ai/chat``/api/ai/models` 代理到 OpenAI 兼容 `/chat/completions``/models` 接口。
- 语音听写通过后端 `/api/speech/iat` WebSocket 代理到讯飞 IAT 接口,前端只采集 PCM 音频并发送到本系统。
- 当前 AI Key 和讯飞语音密钥均由后端代理使用;普通用户读取系统设置时不会返回真实密钥。

79
docs/features.md Normal file
View File

@@ -0,0 +1,79 @@
# 功能盘点
本文按当前源码筛选功能状态,区分“真实可用”“真实集成但依赖外部条件”“前端演示/非生产安全”和“预留或未使用”。
## 状态定义
| 状态 | 含义 |
| --- | --- |
| 真实可用 | 在当前应用内已有完整交互和持久化;可能是本地存储或已接入后端。 |
| 真实集成 | 已调用浏览器能力或第三方接口,但需要浏览器权限、有效密钥、网络或用户手动操作。 |
| 前端演示 | UI 和流程存在,但安全边界或数据层只是浏览器本地模拟,不等于生产实现。 |
| 后端骨架 | 服务入口、数据模型或策略已存在,但尚未接入前端主流程或补齐完整业务 API。 |
| 预留/未使用 | 依赖、环境变量或字段存在,但当前功能链路未实际使用或命名未统一。 |
## 功能矩阵
| 功能 | 状态 | 证据/说明 |
| --- | --- | --- |
| 登录 | 真实集成 | `Login` 通过 `AuthContext` 调用 `POST /api/auth/login`,后端用 Session Cookie 维持登录态;成功后同步 `currentUser` 兼容旧页面。 |
| 默认数据初始化 | 真实可用 | 登录页初始化默认用户、模板、字段、图片资源和系统设置。 |
| 登录态恢复/退出 | 真实集成 | `AuthProvider` 调用 `GET /api/auth/me` 恢复会话,`POST /api/auth/logout` 退出;后端 Session 已持久化到 `AppSession` 表,生产构建默认不再用本地缓存恢复。 |
| 角色导航 | 真实可用 | `Sidebar` 优先读取 Auth Context回退 `currentUser.role` 显示菜单。 |
| 页面级权限跳转 | 前端演示 | 页面读取 `currentUser` 后跳转或隐藏功能;可被浏览器侧数据修改绕过。 |
| 工作台统计 | 真实集成 | `Dashboard` 调用 `GET /api/dashboard/stats`,后端按角色范围统计报告、模板、用户和趋势;只有开发/显式回退模式下 API 不可用才回退本地统计。 |
| 报告基本信息表单 | 真实可用 | `ReportEditor` 管理 `reportData`,支持文本、日期、时间、单选、多选。 |
| 正文智能字段绑定 | 真实可用 | 模板 HTML 的 `data-bind` 字段与表单双向同步。 |
| 富文本编辑 | 真实可用 | 使用 `contentEditable``document.execCommand`。实现可用,但 API 过时。 |
| 报告草稿 | 真实可用 | 保存到 `reportEditorDraft_${username}`。 |
| 保存/完成报告 | 真实集成 | `ReportEditor` 优先调用 `POST/PATCH /api/reports`,后端写入 PostgreSQL、清洗 HTML、保留历史版本、写审计并在已完成报告再次修改时递增 `revision`;只有开发/显式回退模式下 API 不可用才回退本地保存。 |
| 报告历史恢复 | 真实可用 | 管理页写 `sessionStorage.restore_${reportId}`,编辑器读取恢复。 |
| 报告管理筛选 | 真实集成 | `ReportManage` 优先调用 `GET /api/reports`,后端按超级管理员/管理员/医生过滤;前端继续支持搜索、状态和时间筛选;只有开发/显式回退模式下 API 不可用才回退本地报告。 |
| 报告查看 | 真实集成 | `ReportView` 优先调用 `GET /api/reports/:id`,后端校验查看权限;页面渲染报告 HTML只有开发/显式回退模式下 API 不可用才回退本地权限检查。 |
| PDF 导出 | 真实集成 | 通过隐藏 iframe 或 `window.print()` 调用浏览器打印,用户手动保存为 PDF不是后端 PDF 生成。 |
| JSON 导出 | 真实可用 | Blob 下载结构化报告字段或模板包。 |
| 模板管理 | 真实集成 | `TemplateManage` 优先调用 `/api/templates?access=manage`,新增/编辑/删除会写后端并清洗 HTML字段库优先调用 `/api/library/fields`,模板图片资源优先调用 `/api/files`。导入导出仍主要在前端处理。 |
| 模板权限 | 真实集成 | 后端按部门模板、部门授权和个人模板过滤 `access=use/manage`;迁移期仍同步 `localStorage.templates`,仅在开发/显式回退模式下作为回退。 |
| 我的个人模板 | 真实集成 | 医生在报告编辑器中保存个人模板时优先调用 `POST /api/templates`,后端把模板归属当前用户;只有开发/显式回退模式下 API 不可用才回退本地模板。 |
| 用户管理 | 真实集成 | `UserManage` 优先调用 `/api/users` 增删改查,后端校验超级管理员/管理员范围、管理员唯一性和医生创建约束;只有开发/显式回退模式下 API 不可用才保留本地回退。 |
| 部门模板授权 | 真实集成 | 后端提供 `/api/departments``/api/departments/:id/template-permissions`,超级管理员可通过管理员模板权限更新部门授权。 |
| 电子签名 | 真实集成 | 用户管理页上传后压缩为 Data URL再调用 `/api/users/:id/signature` 写入后端文件资源;报告中有对应绑定字段时通过受控文件 URL 展示。只有开发/显式回退模式下 API 不可用才保留本地签名回退。 |
| 视频上传 | 真实集成 | 使用浏览器 File API 和对象 URL即时预览并优先通过 `/api/files``kind = VIDEO` 写入后端文件资源。 |
| 自动抽帧 | 真实集成 | 使用 `<video>` + `<canvas>` 按百分比截取 JPEG关键帧优先通过 `/api/files``kind = FRAME` 写入后端文件资源。 |
| 关键帧插入 | 真实集成 | 关键帧可点击插入或拖入图片占位符;上传成功后编辑器会把插入图片从 Data URL 替换为受控文件 URL。 |
| AI 辅助撰写 | 真实集成 | 前端调用 `/api/ai/chat`,后端使用全局共用 Provider Key 代理 OpenAI 兼容 `/chat/completions`;需要有效 Provider 配置、模型和网络。 |
| AI 差异确认 | 真实可用 | 使用 `diff` 生成左右差异,确认后写入 AI 区域。 |
| 讯飞语音听写 | 真实集成 | 前端使用麦克风采集音频并连接 `/api/speech/iat`;后端读取讯飞配置、生成鉴权 URL、补齐首帧 APPID/业务参数并转发 IAT 结果。需要浏览器权限、有效配置和网络。 |
| AI/语音密钥管理 | 真实集成 | AI Key 和讯飞 APIKey/APISecret 均由后端代理读取和使用;普通用户读取设置时不返回真实密钥。 |
| 系统设置 | 真实集成 | `SystemSettings` 优先调用 `/api/settings/system` 读取、保存和重置抽帧、默认模板、AI Provider、语音配置只有开发/显式回退模式下 API 不可用才回退本地缓存。 |
| Docker/Nginx 静态部署 | 真实可用 | 可构建静态文件并用 Nginx 托管 SPA。 |
| 后端服务 | 后端骨架 | 已新增 NestJS API健康检查、认证接口、数据库 Session、Dashboard API、报告 API、报告媒体关系、模板 API、字段库 API、用户/部门 API、设置 API、通用文件/签名文件 API、视频/关键帧文件上传、AI 代理、讯飞语音代理、HTML 清洗、审计日志、Prisma/PostgreSQL 数据模型、默认 seed 和权限策略。 |
| 讯飞语音配置字段 | 真实可用 | 初始化、类型和系统设置统一使用 `xfSpeechConfig`。 |
## 测试覆盖对应
| 测试文件 | 覆盖范围 |
| --- | --- |
| `src/pages/Login.test.tsx` | 默认数据初始化、默认账号展示、后端禁用账号错误展示。 |
| `src/components/Sidebar.test.tsx` | 角色导航过滤。 |
| `src/api/client.test.ts` | API envelope 解包、Cookie credentials 和错误 envelope。 |
| `src/api/dashboard.test.ts` | Dashboard 统计 API 封装和响应校验。 |
| `src/api/speech.test.ts` | 语音 WebSocket 代理地址生成,含同源和显式 API Base URL。 |
| `src/api/library.test.ts` | 字段库 API 读取和更新封装。 |
| `src/api/files.test.ts` | 通用文件列表和上传 API 封装。 |
| `src/auth/backendUser.test.ts` | 后端用户 DTO 到前端兼容用户的角色和模板权限映射。 |
| `src/pages/ReportManage.test.tsx` | 医生/管理员报告可见范围。 |
| `src/utils/permissions.test.ts` | 报告权限、管理员本部门范围、医生个人模板和部门模板范围。 |
| `src/utils/storage.test.ts` | 本地存储、系统设置混淆兼容、会话恢复键、默认 Provider 不携带内置 Key 的契约。 |
| `src/utils/defaultContent.test.ts` | 默认模板结构、智能字段、图片占位符、AI 区域、字段和 Provider 配置。 |
| `src/utils/print.test.ts` | 浏览器打印导出入口。 |
| `server/src/permissions/permissions.policy.test.ts` | 后端报告、模板、用户管理和管理员创建权限策略。 |
| `server/src/reports/report.mapper.test.ts` | 后端 Report 与前端兼容 Report 对象的 metadata、ReportMedia 和历史输出。 |
| `server/src/templates/template.mapper.test.ts` | 后端 Template 与前端兼容 Template 对象、模板权限资源的映射。 |
| `server/src/users/users.mapper.test.ts` | 后端 User 与前端兼容 User 对象、部门模板授权字段的映射。 |
| `server/src/settings/settings.schemas.test.ts` | 后端系统设置 schema 默认值和非法抽帧参数校验。 |
| `server/src/ai/ai.schemas.test.ts` | 后端 AI 代理入参 schema含多模态消息与空消息校验。 |
| `server/src/speech/xf-frame.test.ts` | 后端讯飞代理首帧补齐 APPID/业务参数,后续帧和异常 payload 保持兼容。 |
| `server/src/http.integration.test.ts` | Nest HTTP 层集成测试,覆盖 API prefix、登录会话、未登录保护、受保护接口 actor 传递。 |
外部 AI、讯飞语音上游、真实浏览器视频抽帧和打印成 PDF 属于浏览器/第三方边界单元测试中不直连外部服务AI/语音代理已有 schema 或帧处理测试,后续需要 HTTP/WebSocket 集成测试和人工验收补充端到端验证。

View File

@@ -0,0 +1,74 @@
# 模块文档:认证与用户权限
## 涉及文件
- `src/pages/Login.tsx`
- `src/api/client.ts`
- `src/api/users.ts`
- `src/api/files.ts`
- `src/auth/AuthContext.tsx`
- `src/auth/backendUser.ts`
- `src/pages/UserManage.tsx`
- `src/components/Sidebar.tsx`
- `src/types.ts`
- `src/utils/storage.ts`
- `server/src/users`
- `server/src/files`
## 登录流程
`Login` 页面挂载时仍执行迁移期初始化,补齐默认模板、默认用户、字段库、图片资源和系统设置。提交登录表单后,前端通过 `AuthContext.login` 调用 `POST /api/auth/login`,后端验证 Argon2 密码哈希并写入 HttpOnly Session Cookie。
登录成功后,`AuthContext` 会把后端返回的安全用户 DTO 转成当前前端 `User` 结构,并同步到 `localStorage.currentUser``localStorage.users`。这是为了兼容字段、设置、用户管理和开发回退逻辑;生产构建默认不会用本地缓存恢复登录态。
`AuthProvider` 启动时会调用 `GET /api/auth/me` 恢复后端会话,退出登录调用 `POST /api/auth/logout` 并清理本地 `currentUser`
后端角色 `doctor` 会映射为当前前端历史类型中的 `user`。前端会保留本地签名和已有模板授权字段,避免迁移期丢失医生个人模板或签名。
## 默认账号
| 用户ID | 密码 | 角色 | 说明 |
| --- | --- | --- | --- |
| `admin` | `123456` | 超级管理员 | 初始最高权限。 |
| `manager` | `123456` | 管理员 | 外科管理员。 |
| `0001` | `123456` | 医生 | 外科医生账号。 |
## 权限规则
- `super`:可查看和管理全部用户、模板、报告、系统配置。
- `admin`:可管理同部门医生或自己;不可创建超级管理员;新增用户默认是医生。
- `user`:只能管理本人报告;不能进入模板管理和用户管理。
用户管理中还有这些约束:
- 不允许删除默认超级管理员 `admin`
- 不允许删除当前登录用户。
- 一个部门只能存在一个管理员。
- 创建医生前,该部门必须已有管理员。
- 禁用管理员类账号需要授权密钥。
`UserManage` 页面当前优先调用后端 `Users/Departments` API。只有开发模式或显式开启 `VITE_ENABLE_LOCAL_FALLBACK=true`API 不可用才保留本地列表回退,便于迁移期演示和离线开发;生产安全边界以服务端校验为准。
## 用户与部门 API
- `GET /api/users`:超级管理员返回全部用户;管理员返回自己和本部门医生;医生只返回自己。
- `POST /api/users`:超级管理员可创建管理员或医生;管理员只能创建本部门医生;后端校验一个部门只能有一个管理员,且创建医生前部门必须已有管理员。
- `PATCH /api/users/:id`:超级管理员可改角色、部门、状态和模板授权;管理员只能改本部门医生的基础信息、密码和状态;医生只能改自己的基础资料。
- `DELETE /api/users/:id`:禁止删除当前账号和默认超级管理员;有业务数据关联时返回冲突,建议改为禁用。
- `GET /api/departments`:超级管理员返回全部部门;管理员/医生返回本人部门。
- `PATCH /api/departments/:id/template-permissions`:超级管理员维护部门可用和可管理模板授权。
## 模板权限
用户有两个模板权限字段:
- `manageableTemplates`:可管理的模板 ID。
- `visibleTemplates`:新建报告时可使用的模板 ID。
超级管理员拥有全部模板。管理员可被超级管理员分配部门可管理模板;医生可见模板来自本部门可用模板和自己的个人模板。当前前端仍沿用 `visibleTemplates/manageableTemplates` 字段展示,但后端数据来源是 `TemplateDepartmentPermission`
## 签名
用户管理支持上传签名图片,前端会压缩为 JPEG Data URL再调用 `POST /api/users/:id/signature` 写入后端 `FileResource` 和本地文件目录。后端把 `signatureFileId` 写回用户表,并通过 `/api/files/:id/content` 提供受控读取。报告模板中若存在 `surgeonSignature` 绑定字段,报告编辑器会尝试用当前用户签名 URL 渲染。
只有本地回退开启时API 不可用才会保留本地 `User.signature` 作为迁移期回退;模板图片、关键帧和视频已迁移到同一文件资源体系,后续应继续正规化报告媒体关系。

View File

@@ -0,0 +1,98 @@
# 模块文档:报告编辑器
## 涉及文件
- `src/pages/ReportEditor.tsx`
- `src/api/reports.ts`
- `src/api/ai.ts`
- `src/api/speech.ts`
- `src/api/library.ts`
- `src/api/files.ts`
- `src/utils/defaultContent.ts`
- `src/utils/print.ts`
- `src/types.ts`
## 模块职责
报告编辑器是系统核心模块,负责新建/编辑报告、字段同步、富文本排版、视频关键帧处理、AI 辅助撰写、语音输入、草稿恢复和报告保存。
## 页面模式
- `/report-editor`:新建报告。
- `/report-editor?id=RPT_xxx`:编辑已有报告。
- `/report-editor?id=RPT_xxx&restore=1`:从历史版本恢复内容后进入编辑器。
## 草稿机制
编辑器会在卸载、页面隐藏和部分操作后写入 `reportEditorDraft_${username}`。草稿包含正文 HTML、表单数据、视频列表、关键帧、当前标签页、模板 ID 和 AI 聊天上下文。
保存报告后会清理草稿。
## 智能字段
模板中的智能字段形如:
```html
<span class="field-value" data-bind="patientName" contenteditable="true"></span>
```
编辑器会把侧边表单状态同步到正文,也会在用户直接编辑正文中的绑定字段时反向更新表单。日期和时间字段会按字段配置做格式化和解析。
字段库优先从 `/api/library/fields` 读取,成功后同步 `formFieldsConfig``multiSelectOptions``anesthesiaOptions` 兼容缓存;只有开发模式或显式开启 `VITE_ENABLE_LOCAL_FALLBACK=true`API 不可用才继续读取本地缓存。
## 图片占位符
`.image-placeholder` 用于在模板或报告中保留图片位置。
- 普通占位符可点击选择图片,也可接收视频关键帧。
- `data-mode="manual"` 用于 Logo、签名等静态位置不允许拖入关键帧。
- 已填充图片后会增加 `.has-image`
模板图片资源优先从 `/api/files?kind=TEMPLATE_ASSET` 读取只有本地回退开启时API 不可用才继续读取本地 `imageAssets`
## 视频与抽帧
用户上传视频后,系统使用浏览器对象 URL 进行即时预览,同时优先通过 `POST /api/files``kind = VIDEO` 上传后端文件资源。抽帧逻辑按系统设置中的 `framePositions` 百分比定位视频时间,绘制到 canvas 后转为 JPEG并优先以 `kind = FRAME` 上传后端文件资源。
支持:
- 自动抽帧。
- 手动截帧。
- 点击关键帧跳转视频时间。
- 拖拽关键帧到报告占位符。
- 自动把选中的抽帧序号插入空置图片占位符。
报告保存前会等待当前视频和关键帧上传完成,并把 `fileId/url`、排序和抽帧信息通过 Reports API 同步到后端 `ReportMedia` 关系表。只有本地回退开启时API 不可用才保留本地对象 URL/Data URL 回退。
## AI 撰写
AI 面板支持两种模式:
- 对话模式:根据当前报告内容和图片上下文回答问题。
- 修改模式:选中 `.ai-region` 后要求模型返回 JSON其中包含 `reply``updatedHtml`
模型返回 HTML 后,系统会清理换行和 `<br>`,生成差异预览。用户确认后才写入目标 `.ai-content`
当前 AI 调用使用后端代理:
- `/api/ai/chat`
- 后端读取全局共用 Provider Key 并代理到 OpenAI 兼容 `/chat/completions`
- 支持图片以 `image_url` 内容传入
## 语音输入
讯飞听写通过后端 WebSocket 代理:
- 前端连接 `/api/speech/iat`,不再生成讯飞鉴权 URL也不读取 APPID/APIKey/APISecret。
- 浏览器采集麦克风音频,转换为 16k PCM 后发送音频帧。
- 后端读取 Settings API 中的 `xfSpeechConfig`,连接讯飞 IAT上游首帧由后端补齐 `common.app_id` 和默认 `business` 参数。
- 识别结果由后端转发回前端,并追加到 AI 输入框。
## 保存规则
- 保存草稿不强制患者姓名和住院号。
- 完成报告要求患者姓名和住院号。
- 保存时优先调用 `POST /api/reports``PATCH /api/reports/:id`;后端会先做 HTML 白名单清洗,再写入 PostgreSQL 并维护历史版本。
- 编辑已有已完成报告时,后端会把旧内容追加到历史记录并递增 `revision`
- 只有本地回退开启时API 不可用才保留原有本地 `localStorage.reports` 保存逻辑;生产构建默认关闭这条路径。
- 完成报告后跳转到报告管理页。

View File

@@ -0,0 +1,53 @@
# 模块文档:报告管理与查看
## 涉及文件
- `src/pages/ReportManage.tsx`
- `src/pages/ReportView.tsx`
- `src/api/reports.ts`
- `server/src/reports/*`
- `src/utils/print.ts`
- `src/types.ts`
## 报告管理
`ReportManage` 优先通过 `src/api/reports.ts` 调用 `GET /api/reports` 读取报告列表,后端根据当前 Session 用户做权限过滤:
- 医生只显示本人创建的报告。
- 管理员只显示本部门报告。
- 超级管理员显示全部报告。
前端仍支持按标题、患者姓名、住院号搜索,按状态和时间筛选。只有开发模式或显式开启 `VITE_ENABLE_LOCAL_FALLBACK=true`API 不可用才会回退读取 `localStorage.reports`,用于迁移期旧数据和离线测试。
## 操作能力
- 查看:进入 `/report-view/:id`
- 编辑:进入 `/report-editor?id=...`
- 删除:优先调用 `DELETE /api/reports/:id` 做后端软删除再同步本地兼容缓存只有本地回退开启时API 不可用才会从本地 `reports` 中移除。
- 历史版本:查看 `Report.history`,可恢复某个历史内容到编辑器。
- 导出 PDF调用浏览器打印。
- 导出 JSON下载结构化字段数据。
- 批量导出和批量删除:基于表格选中项操作。
医生只能编辑或删除自己的报告。
## 历史恢复
历史版本恢复时,管理页把目标 HTML 写入 `sessionStorage.restore_${reportId}`,再跳转到编辑器。编辑器读取后填入正文并移除 session 键。
## 报告查看
`ReportView` 优先通过 `GET /api/reports/:id` 获取报告,后端检查查看权限。只有本地回退开启时,失败才会回退本地报告和前端权限判断。报告正文通过 `dangerouslySetInnerHTML` 渲染,保存侧已由后端做第一版 HTML 白名单清洗,页面提供浏览器打印入口。
## 后端报告模型
后端 `Report` 表保存标题、患者姓名、住院号、HTML 正文、作者、部门、状态和修订版本。`Report.metadata` 暂存患者扩展字段;视频和关键帧文件内容写入 `FileResource`,报告中的媒体引用、排序和抽帧信息写入 `ReportMedia` 关系表。Reports API 返回时仍组装成前端兼容的 `videos``capturedFrames` 字段。
## 导出 JSON 内容
当前报告 JSON 导出主要包含:
- `meta`:报告 ID、标题、创建/更新时间、作者和状态。
- `fields`:按 `DEFAULT_FORM_FIELDS` 提取的报告字段。
报告正文 HTML 和视频帧数据不在这个结构化字段导出范围内。

View File

@@ -0,0 +1,60 @@
# 模块文档:系统设置
## 涉及文件
- `src/pages/SystemSettings.tsx`
- `src/api/settings.ts`
- `src/types.ts`
- `src/utils/storage.ts`
- `server/src/settings`
## 模块职责
系统设置负责维护视频抽帧、AI 接口、讯飞语音和默认模板配置。超级管理员可以看到全部设置;其他用户主要配置默认报告模板。
页面优先调用 `GET /api/settings/system` 读取设置,保存时调用 `PATCH /api/settings/system`。只有开发模式或显式开启 `VITE_ENABLE_LOCAL_FALLBACK=true`API 不可用才保留 `localStorage.systemSettings` 回退。后端使用 `SystemSetting` 表保存全局设置,并用 `scope = user:<id>` 保存个人默认模板。
## 视频抽帧配置
配置字段包括:
- `frameCount`:抽取帧数。
- `framePositions`:每帧对应的视频进度百分比。
- `frameMode`:调整帧数时使用整体均匀抽取或保持当前抽帧。
- `autoInsertFrames`:是否自动插入关键帧。
- `autoInsertDelay`:自动插入延迟。
- `autoInsertFrameIndices`:哪些抽帧序号参与自动插入。
保存时会对 `framePositions` 排序,并把 `frameCount` 同步为位置数组长度。
## AI 接口配置
`activeAiProvider` 指向当前服务商,`aiProviders` 保存各服务商配置。默认服务商包括:
- Kimi
- DeepSeek
- OpenAI
- Custom
系统通过后端 `/api/ai/models` 测试连接和获取模型列表,通过 `/api/ai/chat` 在报告编辑器中生成内容。后端读取全局共用 Provider Key 并代理 OpenAI 兼容 `/models``/chat/completions`,普通用户读取设置时不会拿到 AI Key。
## 讯飞语音配置
`xfSpeechConfig` 保存讯飞 WebSocket IAT 所需的 APPID、APIKey 和 APISecret。报告编辑器只连接本系统 `/api/speech/iat`,由后端读取这些配置、生成讯飞鉴权 URL 并转发音频和识别结果。普通用户读取设置时不会拿到 APIKey/APISecret。
## 默认模板
`defaultTemplate` 指向模板 ID。新建报告时如果当前用户可见该模板编辑器会自动加载对应模板内容否则回退到默认内置报告内容。
## 重置能力
超级管理员可执行:
- 恢复系统设置出厂设置:优先调用 `POST /api/settings/system/reset`,只有本地回退开启时失败才重置本地 `systemSettings`
- 重置全部数据:仅本地回退开启时执行 `localStorage.clear()` 并刷新;生产构建默认阻止把本地清空误认为后端数据重置。
## 注意事项
- `systemSettings` 的本地混淆不等于安全加密;当前仅作为开发/显式本地回退模式下 API 不可用时的兼容缓存。
- 初始化、类型和系统设置页面已统一使用 `xfSpeechConfig`;当前由后端语音代理使用。
- 默认 API Key 或语音密钥不应留在生产前端代码中。

View File

@@ -0,0 +1,88 @@
# 模块文档:模板管理
## 涉及文件
- `src/pages/TemplateManage.tsx`
- `src/api/templates.ts`
- `src/api/library.ts`
- `src/api/files.ts`
- `server/src/templates/*`
- `server/src/library/*`
- `server/src/files/*`
- `src/utils/defaultContent.ts`
- `src/utils/print.ts`
- `src/types.ts`
## 模块职责
模板管理用于维护报告模板 HTML、字段库、图片资源、AI 可编辑区域和模板导入导出。医生不可进入该模块。
## 模板列表
模板列表优先通过 `GET /api/templates?access=manage` 读取,后端根据当前 Session 用户过滤可管理模板:
- 超级管理员可管理全部模板。
- 管理员可管理本部门模板或被授权可管理模板。
- 医生不能进入模板管理页,但可以通过报告编辑器新建自己的个人模板。
只有开发模式或显式开启 `VITE_ENABLE_LOCAL_FALLBACK=true`API 不可用才回退读取 `localStorage.templates`用于迁移期旧数据和离线测试。API 返回空列表会按真实空数据展示,不再自动把本地模板当作生产数据。
支持:
- 新增模板。
- 编辑模板名称和描述。
- 删除或批量删除模板。
- 保存当前模板内容。
- 打印模板预览。
- 单个导出和批量导出 JSON。
- 从 JSON 模板包导入。
新增、编辑、保存内容和删除模板会优先调用后端 `POST/PATCH/DELETE /api/templates`,后端会对模板 HTML 做白名单清洗;成功后同步 `localStorage.templates` 作为兼容缓存。只有本地回退开启时API 失败才允许写本地模板。
## 模板内容编辑
模板正文是 `contentEditable` HTML。工具栏支持常见富文本命令、表格、图片占位符和 AI 区域插入。编辑器内部维护 undo/redo 栈,并根据内容高度扩展 A4 页面高度。
## 字段库
字段定义优先通过 `GET/PATCH /api/library/fields` 读写,后端保存到 `SystemSetting.key = fieldLibrary``formFieldsConfig` 继续作为迁移期兼容缓存,并仅在本地回退开启且 API 不可用时作为回退。字段支持:
- 显示/隐藏。
- 系统锁定字段保护。
- 文本、单选、多选、日期、时间、签名、图片等类型。
- 选项维护。
- 时间格式和默认值。
- 下划线样式。
插入字段时,模板会写入带 `data-bind``.field-value`,报告编辑器按该 key 进行表单同步。
## 图片资源
模板图片资源优先通过通用文件 API 上传和读取:
- `GET /api/files?kind=TEMPLATE_ASSET`
- `POST /api/files`
- `DELETE /api/files/:id`
页面仍把资源同步到 `imageAssets` 作为迁移期兼容缓存。只有本地回退开启时API 不可用的上传图片才会回退为本地 Data URL。
## 后端模板模型
后端 `Template` 表保存模板名称、描述、HTML 正文、字段 JSON、模板范围、归属部门或归属用户。部门授权由 `TemplateDepartmentPermission` 表维护,支持 `canUse``canManage`。医生个人模板使用 `scope = PERSONAL``ownerUserId` 归属本人。
## 导入导出格式
单模板导出大致结构:
```json
{
"version": "1.0",
"type": "surclaw_template_package",
"title": "模板名称",
"description": "模板描述",
"content": "模板 HTML",
"fields": []
}
```
批量导出使用 `type: "surclaw_template_package_batch"`,包含 `templates` 数组。当前导入逻辑只接受单模板包。

280
docs/permissions.md Normal file
View File

@@ -0,0 +1,280 @@
# 权限设计
本文档描述后端化后的目标权限模型。当前版本登录认证已接入后端,但角色和部分页面级过滤仍主要在前端执行,不能作为生产安全边界;后端化后必须由服务端统一鉴权和授权。
## 已确定规则
- 超级管理员拥有全权限,可以查看和修改系统内任何数据。
- 超级管理员默认属于 `admin` 部门,但查询、管理和授权不受部门限制。
- 管理员只能查看、编辑和删除本部门报告。
- 医生默认只能查看、编辑和删除本人报告。
- 医生完成报告后仍允许修改,也允许删除本人已完成报告。
- 完成报告后的每次修改都需要增加修订版本号,方便医疗文书追踪。
- 模板按部门授权。
- 管理员可以修改本部门模板,也可以使用被授权模板。
- 医生不可以直接修改部门模板,但可以复制/新建自己的模板并修改。
- 只有超级管理员能创建或授权管理员。
- 一个部门只能有一个管理员。
- 不设置患者维度权限。
- 部门之间不存在上级/下级关系。
- 不需要临时授权或会诊授权。
- 不允许同一用户属于多个部门。
- AI 代理只能接收当前报告内容作为上下文,不能读取跨部门报告。
- 报告导出不需要水印、导出原因、审批或专门导出审计。
- 前端菜单隐藏只是体验优化,所有权限必须在后端 API 层强校验。
## 角色定义
| 角色 | 代码建议 | 权限定位 |
| --- | --- | --- |
| 超级管理员 | `super` | 系统最高权限,跨部门、跨模板、跨用户管理。 |
| 管理员 | `admin` | 部门级管理者,只管理本部门业务数据;每个部门最多一个管理员。 |
| 医生 | `doctor` 或沿用 `user` | 普通报告创建者,主要管理本人报告,可复制或新建个人模板。 |
当前前端代码使用 `user` 表示医生。后端化时可以继续沿用 `user`,也可以迁移为更清晰的 `doctor`。如果迁移,需要同步前端类型、接口返回和历史数据。
## 数据边界
后端数据至少需要以下边界字段:
- `tenant_id`:医院或部署实例。单医院也建议预留。
- `department_id`:科室。
- `user_id`:用户。
- `role`:用户角色。
报告、模板、用户、文件、操作日志都应带上 `tenant_id`。报告必须带 `department_id`。模板可以带拥有部门,也可以通过授权表关联部门。
组织规则:
- 每个用户只能属于一个部门。
- 超级管理员默认部门为 `admin`
- 部门没有上下级层级。
- 一个部门最多一个管理员,后端创建/修改管理员时必须校验唯一性。
## 报告权限
### 查看报告
| 角色 | 规则 |
| --- | --- |
| 超级管理员 | 可查看所有报告。 |
| 管理员 | 只能查看本部门报告。 |
| 医生 | 只能查看本人报告。 |
建议后端查询规则:
```text
super: WHERE tenant_id = current.tenant_id
admin: WHERE tenant_id = current.tenant_id AND department_id = current.department_id
doctor: WHERE tenant_id = current.tenant_id AND author_id = current.user_id
```
### 新建报告
| 角色 | 规则 |
| --- | --- |
| 超级管理员 | 可为任意部门创建报告,默认部门为 `admin`,也可在表单中选择目标部门。 |
| 管理员 | 可在本部门创建报告。 |
| 医生 | 可为自己创建报告,部门取当前用户部门。 |
建议新建报告时由后端写入 `author_id``department_id``tenant_id`,不要完全信任前端传入。
### 编辑报告
| 角色 | 规则 |
| --- | --- |
| 超级管理员 | 可编辑任何报告。 |
| 管理员 | 可编辑本部门报告。 |
| 医生 | 可编辑本人报告,包括已完成报告。 |
完成报告后仍允许修改。后端必须:
- 每次保存创建 `report_histories` 记录。
- 已完成报告每次修改递增修订版本号。
- 记录修改人、修改时间、修改动作和旧版本内容或旧版本引用。
### 删除报告
| 角色 | 规则 |
| --- | --- |
| 超级管理员 | 可删除任何报告。 |
| 管理员 | 可删除本部门报告,包括已完成报告。 |
| 医生 | 可删除本人报告,包括已完成报告。 |
实现建议:
- 后端可以先做软删除,保留 `deleted_at``deleted_by`,避免误删后无法恢复。
- 如果未来接入正式病历归档流程,再考虑把“删除”改为“作废/归档”。
### 导出报告
| 角色 | 规则 |
| --- | --- |
| 超级管理员 | 可导出所有报告。 |
| 管理员 | 可导出本部门报告。 |
| 医生 | 可导出本人报告。 |
当前确定:报告导出不需要水印、导出原因、审批或专门导出审计。
## 模板权限
已确定:模板按部门授权。
建议数据模型:
- `templates`:模板主体。
- `departments`:部门。
- `template_department_permissions`:模板与部门授权关系。
- `user_templates` 或在 `templates` 中增加 `owner_user_id`:医生复制/新建的个人模板。
建议权限规则:
| 角色 | 查看/使用模板 | 管理模板 |
| --- | --- | --- |
| 超级管理员 | 全部模板 | 全部模板,可授权给部门。 |
| 管理员 | 本部门模板和被授权模板 | 可修改本部门模板,可使用被授权模板。 |
| 医生 | 本部门被授权模板、自己的个人模板 | 不可修改部门模板;可复制/新建并修改自己的个人模板。 |
新建报告时,后端必须校验当前用户是否有权使用该模板。
模板授权粒度建议:
- 部门授权模板用于“部门可见/可使用”。
- 模板归属部门用于判断管理员是否可以管理。
- 医生个人模板只归属创建医生本人,不自动成为部门模板。
## 用户权限
| 角色 | 用户管理权限 |
| --- | --- |
| 超级管理员 | 创建、编辑、禁用、删除所有用户,分配部门和角色,创建或授权管理员。 |
| 管理员 | 管理本部门医生;不能创建管理员;不能跨部门管理用户。 |
| 医生 | 只能查看和修改自己的基础资料,密码修改走单独接口。 |
管理员规则:
- 只有超级管理员能创建或授权管理员。
- 一个部门只能有一个管理员。
- 管理员不能创建超级管理员。
## 系统设置权限
| 设置项 | 超级管理员 | 管理员 | 医生 |
| --- | --- | --- | --- |
| AI Provider 和密钥 | 可管理 | 不可管理 | 不可管理 |
| 讯飞语音密钥 | 可管理 | 不可管理 | 不可管理 |
| 全局抽帧策略 | 可管理 | 不可管理 | 不可管理 |
| 部门默认模板 | 可管理全部部门 | 可管理本部门 | 不可管理 |
| 个人默认模板 | 可配置自己默认值 | 可配置自己默认值 | 可配置自己默认值 |
建议把设置拆为:
- 全局设置:超级管理员维护。
- 部门设置:超级管理员或本部门管理员维护。
- 用户偏好:每个用户自己维护。
## 文件权限
文件包括签名、模板图片、报告图片、视频、关键帧、导出文件。
建议规则:
- 签名文件:用户本人、本部门管理员、超级管理员可访问。
- 报告相关文件:继承报告权限。
- 模板图片:继承模板权限。
- 视频文件:继承报告权限,且建议限制下载或设置过期访问 URL。
- 导出文件:继承报告导出权限;不要求专门导出审计。
## 操作记录与历史
虽然报告导出不需要专门审计,但以下写操作仍建议记录基础操作日志,便于排查和追踪:
- 登录成功/失败。
- 新建、保存、完成、修改已完成报告。
- 删除报告。
- 新建、修改、删除模板。
- 模板部门授权变更。
- 新建、禁用、删除、改角色用户。
- 修改 AI/语音密钥。
- 修改系统设置。
报告历史是业务必需项:
- 报告每次保存保留历史版本。
- 已完成报告每次修改递增修订版本号。
- 历史记录应包含修改人、修改时间、修改动作、旧内容或旧内容引用。
日志建议包含:
- `tenant_id`
- `actor_user_id`
- `actor_role`
- `action`
- `target_type`
- `target_id`
- `department_id`
- `ip`
- `user_agent`
- `created_at`
- `metadata`
敏感病历正文和完整密钥不应写入普通日志;报告正文版本应放在报告历史表或对象存储中。
## AI 权限
AI 代理只能接收当前报告内容作为上下文:
- 不允许读取跨部门报告。
- 不允许自动检索其他报告作为上下文。
- 不需要患者维度权限。
- AI 请求由后端代理发出,前端不接触真实 API Key。
如果用户在当前报告中选择了图片、关键帧或正文片段,这些内容必须先通过当前报告权限校验。
## API 权限落点
后端每个接口都要做权限校验。建议先在服务层写统一 guard/policy
- `canViewReport(user, report)`
- `canCreateReport(user, departmentId)`
- `canEditReport(user, report)`
- `canDeleteReport(user, report)`
- `canExportReport(user, report)`
- `canUseTemplate(user, template)`
- `canManageTemplate(user, template)`
- `canCreatePersonalTemplate(user)`
- `canManageUser(actor, targetUser)`
- `canCreateAdmin(actor, departmentId)`
- `canManageSettings(user, scope, departmentId?)`
列表接口不能只在前端过滤,必须在数据库查询条件中限制可见范围。
## 已关闭问题
以下问题已经确认,不再作为阻塞项:
| 问题 | 结论 |
| --- | --- |
| 管理员是否可以编辑本部门医生创建的报告? | 可以。 |
| 管理员是否可以删除本部门已完成报告? | 可以。 |
| 医生是否可以删除本人已完成报告? | 可以。 |
| 管理员是否可以创建其他管理员? | 不可以,只有超级管理员能创建/授权管理员。 |
| 一个部门是否只能有一个管理员? | 是。 |
| 管理员是否可以管理本部门模板内容? | 可以修改本部门模板,也可以使用被授权模板。 |
| 模板授权粒度如何处理? | 部门模板按部门授权;医生不可改部门模板,但可复制/新建个人模板。 |
| 超级管理员是否属于某个部门? | 默认属于 `admin` 部门。 |
| 是否需要患者维度权限? | 不需要。 |
| 报告完成后修改是否需要修订版本号? | 需要。 |
| 报告导出是否需要水印、原因、审批或专门审计? | 不需要。 |
| AI 能否读取跨部门报告作为上下文? | 不能,只能接收当前报告内容。 |
| 部门是否有上下级关系? | 没有。 |
| 是否需要临时授权或会诊授权? | 不需要。 |
| 是否允许同一用户属于多个部门? | 不允许。 |
## 后续实现注意
- 数据库应对“一个部门一个管理员”设置唯一约束或事务校验。
- 报告列表、模板列表、用户列表必须在 SQL 查询层过滤权限。
- 医生个人模板和部门模板需要在数据模型上区分。
- 已完成报告的修改需要版本号和历史记录,不应只覆盖最新内容。
- 删除报告建议先做软删除,后续如有病历归档要求再调整为作废流程。

74
docs/progress.md Normal file
View File

@@ -0,0 +1,74 @@
# 进度文档
## 当前状态
项目已具备一套可运行的迁移期闭环:登录认证、数据库 Session、工作台统计、报告读写、报告媒体关系、模板读写、字段库、模板图片资源、视频/关键帧文件、用户管理、部门模板授权、系统设置、签名文件、AI 对话代理和讯飞语音代理已接入后端。
- 登录已接入后端 Session APISession 已持久化到 `AppSession` 表;默认业务数据初始化仅作为开发本地回退存在。
- 工作台统计已接入 `GET /api/dashboard/stats`
- 报告编辑、模板选择、字段绑定、富文本编辑已实现。
- 视频上传、自动抽帧、手动截帧、关键帧插入已实现;视频和关键帧优先上传到后端 Files API。
- AI 对话、AI 区域改写、差异确认和调用日志已实现AI 对话已改为后端 `/api/ai/chat` 代理。
- 讯飞语音听写入口已实现,并已改为后端 `/api/speech/iat` WebSocket 代理。
- 报告管理、查看、历史恢复、打印、JSON/PDF 导出已实现。
- 报告 API 已实现列表、详情、创建、保存、完成修订、历史记录和软删除;`ReportManage``ReportView``ReportEditor` 已优先调用后端,只有开发/显式回退模式下才保留本地回退。
- 模板管理、字段库、模板导入导出已实现;模板 API 已支持可用/可管理列表、详情、创建、更新、删除和个人模板;字段库已优先接入 `/api/library/fields`
- 用户管理、部门管理员约束和部门模板授权已优先接入后端 Users/Departments API签名上传和模板图片资源已通过 Files API 写入后端文件资源。
- 系统设置、抽帧策略、AI Provider、语音参数和默认模板已优先接入 Settings API只有开发/显式回退模式下才保留本地缓存回退。
- Docker/Nginx 静态部署配置已存在。
- 开发端口已调整为 `3001`
- 已补充 Vitest 测试框架和核心功能单元/组件测试。
- 已补充功能盘点,区分真实功能、外部集成、前端演示和预留项。
- 前端权限 mock 已对齐目标规则:超级管理员全部、管理员本部门、医生本人。
- 报告已增加修订版本号,已完成报告再次保存会递增版本。
- 报告编辑器已支持医生保存“我的个人模板”。
- 讯飞语音配置初始化字段已统一为 `xfSpeechConfig`
- 已新增 Playwright E2E用 localStorage 种子锁定登录、报告权限、报告修订版本和医生个人模板流程。
- 已新增 API 契约草案,为后端化接口、权限过滤和响应格式提供基线。
- 已启动后端化第一阶段:新增 NestJS API 骨架、Prisma/PostgreSQL 数据模型、默认 seed、健康检查、认证接口和后端权限策略测试。
- 已完成前端认证闭环第一步:新增 API client、Auth Context、后端用户兼容映射`Login`/`Sidebar` 已接入后端认证并同步 `currentUser`
## 已知风险
- 前端仍有部分体验控制和兼容缓存依赖浏览器本地数据;后端已经承载主业务数据和第一版审计。
- 后端认证、Dashboard API、报告 API、报告媒体关系、模板 API、字段库 API、用户/部门 API、设置 API、通用文件/签名文件 API、AI 代理和语音代理已可用;审计和 HTML 清洗已有第一版,导出/查看审计仍待加强。
- 本地存储仍可能包含病历兼容缓存、旧演示密码字段、模板图片和关键帧,不适合生产;历史浏览器数据中也可能残留旧版语音服务密钥。
- `systemSettings` 的混淆存储不是加密。
- 旧版本曾在前端默认配置中包含服务密钥痕迹;当前源码默认值已清空,但生产化前仍应轮换曾经暴露过的第三方密钥。
- 报告正文和模板正文保存时已做服务端白名单清洗,但仍以 HTML 字符串存储并通过 `dangerouslySetInnerHTML` 渲染,需要持续安全测试。
- 大视频和大量 Base64 图片会快速占满浏览器存储空间。
- `document.execCommand` 已是过时 API但当前编辑器大量依赖它。
- README 曾与源码账号不一致,当前已同步为 `0001 / 123456`
## 建议下一步
1. 补后端认证自动化集成测试健康检查、登录、me、logout、密码错误、禁用账号。
2. 补报告 API 自动化集成测试:按角色列表过滤、无权详情、创建、完成修订、软删除。
3. 补模板 API 自动化集成测试:按 `access=use/manage` 过滤、管理员创建部门模板、医生创建个人模板、无权删除。
4. 补用户/部门 API 自动化集成测试:用户列表范围、管理员唯一性、医生创建约束、部门模板授权。
5. 补设置/签名文件 API 自动化集成测试:设置保存、非超级管理员默认模板、签名上传和受控读取。
6. 逐步替换前端数据流:继续减少字段库、模板图片和报告编辑器草稿之外的本地回退依赖。
7. 补查看日志、第三方代理调用摘要、后端导出 API 和限流;报告导出不要求专门导出审计。
8. 增加数据迁移:为 `localStorage` 或后端数据增加版本号和迁移脚本。
## 维护记录
| 日期 | 事项 |
| --- | --- |
| 2026-05-01 | 新增 `docs/` 文档结构,梳理当前需求、设计、模块和风险。 |
| 2026-05-01 | 本地开发端口从 `3000` 调整为 `3001`。 |
| 2026-05-01 | 新增功能盘点和测试文档,补充 Vitest 测试覆盖核心功能契约。 |
| 2026-05-01 | 对齐前端权限 mock、报告修订版本和医生个人模板统一 `xfSpeechConfig` 字段。 |
| 2026-05-01 | 新增 Playwright E2E 和 API 契约草案,锁定后端化前的关键前端行为。 |
| 2026-05-01 | 新增 NestJS + Prisma 后端骨架、PostgreSQL schema、默认 seed、健康检查、认证接口和后端权限策略测试。 |
| 2026-05-01 | 前端新增 API client、Auth Context 和后端用户兼容映射,登录/退出/恢复会话接入后端认证。 |
| 2026-05-01 | 新增后端 Reports API、`Report.metadata` 兼容字段和报告前端 API 接入,报告读写优先走后端。 |
| 2026-05-01 | 新增后端 Templates API、默认模板 seed 和模板前端 API 接入,模板读写优先走后端。 |
| 2026-05-01 | 新增后端 Users/Departments API 和用户管理页 API 接入,部门模板授权优先由后端维护。 |
| 2026-05-02 | 新增后端 Settings API、签名文件 API 和前端接入,系统设置与电子签名优先走后端。 |
| 2026-05-02 | 新增后端 AI Proxy报告编辑器和模型测试改为调用 `/api/ai/chat``/api/ai/models`。 |
| 2026-05-02 | 新增后端讯飞语音 WebSocket Proxy报告编辑器改为调用 `/api/speech/iat`,普通用户读取设置时不返回语音密钥。 |
| 2026-05-02 | 新增后端字段库 API、通用文件 API 和 HTTP 集成测试,模板图片资源优先写入后端文件资源。 |
| 2026-05-02 | 报告编辑器视频和关键帧优先上传 Files API新增真实 PostgreSQL 服务集成测试。 |
| 2026-05-02 | 新增 `ReportMedia` 表和迁移,报告视频/关键帧引用从 `Report.metadata` 拆出。 |
| 2026-05-02 | 新增 Dashboard API、数据库 Session Store、审计服务、HTML 白名单清洗、本地回退开关和 Docker 上传目录 volume清理 Gemini 旧依赖。 |

75
docs/requirements.md Normal file
View File

@@ -0,0 +1,75 @@
# 需求文档
## 项目目标
手术图文病历报告系统用于医院或科室内网场景,提供手术记录的图文报告撰写、模板维护、报告管理、用户权限控制、视频关键帧抽取和 AI 辅助撰写能力。
当前实现处于后端化迁移期:登录认证、数据库 Session、工作台统计、报告、模板、字段库、模板图片资源、视频/关键帧文件、用户管理、部门模板授权、系统设置、签名文件、AI 对话和语音听写已接入后端,并已有第一版写操作审计。它适合演示、单机试用或迁移期验证,尚未具备完整生产运维能力。
## 用户角色
| 角色 | 代码值 | 当前能力 |
| --- | --- | --- |
| 超级管理员 | `super` | 管理全部用户、模板、系统设置和全部报告。 |
| 管理员 | `admin` | 管理同部门医生、管理授权模板、查看管理范围内功能。 |
| 医生 | `user` | 新建和管理本人报告,使用授权模板,配置默认模板。 |
## 功能需求
### 登录与初始化
- 首次进入登录页时初始化默认模板、默认用户、表单字段配置、图片资源和系统设置。
- 支持默认测试账号快捷登录。
- 登录调用后端 `/api/auth/login`,后端通过 Session Cookie 维持登录态。
- 用户状态为 `inactive` 时后端禁止登录,前端展示禁用提示。
### 图文报告生成
- 支持选择默认或可见模板创建报告。
- 支持基本信息表单与正文中的 `data-bind` 智能字段双向同步。
- 支持富文本编辑、表格、图片占位符和 AI 可编辑区域。
- 支持上传视频,按系统设置的百分比位置自动抽帧。
- 支持手动截帧、拖拽关键帧到报告占位符、自动插入选定关键帧。
- 支持 AI 对话和 AI 区域改写,改写前显示差异确认。
- 支持通过后端代理进行讯飞语音听写,把识别文本追加到 AI 输入框。
- 支持保存草稿、完成报告、打印和导出。
### 报告管理
- 支持按标题、患者姓名、住院号搜索。
- 支持按状态和时间范围筛选。
- 医生只能看到本人报告;管理员和超级管理员可看到更多报告。
- 支持查看、编辑、删除、历史版本恢复。
- 支持单份或批量导出 PDF/JSON。
### 模板管理
- 支持模板新增、编辑、删除、批量删除。
- 支持模板内容富文本编辑、智能字段插入、图片占位符、AI 可编辑区域。
- 支持模板导入导出 JSON 包。
- 支持表单字段库维护,包括字段显示、选项、时间格式、默认值和下划线样式。
- 新增模板后会同步当前用户或部门用户的模板权限。
### 用户管理
- 超级管理员可管理系统用户,并给管理员分配可管理模板。
- 管理员只能管理同部门医生或自己。
- 同一部门只能存在一个管理员,后端创建或修改管理员时会校验。
- 支持上传用户签名图片到后端文件资源,报告中可通过 `surgeonSignature` 字段展示。
- 禁用管理员类账号需要授权密钥。
### 系统设置
- 超级管理员可配置抽帧数量、抽帧百分比、抽帧计算模式和自动插入策略。
- 超级管理员可配置 AI 服务商、接口地址、API Key 和模型名。
- 超级管理员可配置讯飞语音听写参数。
- 所有角色可设置默认报告模板。
- 超级管理员可恢复系统设置;清空全部本地数据仅作为开发/显式本地回退模式下的浏览器缓存操作,不代表清空后端业务数据。
## 非功能需求与约束
- 当前版本对报告、报告媒体引用、模板、字段库、模板图片、视频/关键帧文件、用户、部门权限、系统设置和签名支持多端后端同步。
- 视频仍以对象 URL 方式在浏览器内即时预览,同时后台优先上传服务器;大文件上传、断点续传和独立媒体关系表尚未完成。
- 报告内容使用 HTML 字符串存储,存在 XSS 和内容污染风险。
- 后端账号密码已使用哈希存储AI/语音密钥已由后端代理使用;但开发回退模式和历史浏览器缓存中仍可能存在 `localStorage.users` 演示密码字段或旧版密钥,不满足生产安全要求。
- 医疗病历属于敏感数据,生产化前必须补齐完整服务端授权、审计、加密、备份和文件存储。

24
docs/security.md Normal file
View File

@@ -0,0 +1,24 @@
# 安全说明
## 当前安全边界
本项目当前处于后端化迁移期。登录认证、数据库 Session、工作台统计、报告、报告媒体关系、模板、字段库、模板图片资源、视频/关键帧文件、用户、部门模板授权、系统设置、签名文件、AI 对话和讯飞语音听写已接入后端 Session/API/代理,后端账号密码使用 Argon2 哈希。客户端权限只能防止普通误操作,不能抵御有意绕过。
## 主要风险
- 开发模式 `localStorage.users` 仍保留兼容缓存和旧演示密码字段;生产构建默认关闭本地回退。
- AI Key 和讯飞语音密钥已由后端代理使用;普通用户读取系统设置时不会返回真实密钥。超级管理员仍可维护全局密钥,应避免把密钥写入源码、日志或文档。
- 旧版本源码中存在默认服务密钥痕迹,应视为已暴露;当前默认值已清空,但生产化前仍需轮换曾经暴露过的第三方密钥。
- 报告和模板 HTML 保存时已做服务端白名单清洗,但仍直接渲染 HTML需要继续做绕过测试和打印兼容测试。
- 浏览器存储没有审计、备份、权限隔离和加密能力。
- 医疗病历数据属于敏感数据,不能直接用于公网生产。
## 生产化建议
1. 完善服务端权限校验:报告、模板、用户、设置和文件 API 必须全部按角色、部门和作者强校验。
2. 增加服务端数据层:视频和关键帧文件已完成第一版 Files API报告媒体引用已拆到 `ReportMedia`;字段库和模板图片资源已完成第一版 API。
3. 增加文件服务:报告图片、视频和关键帧后续可切换对象存储或院内文件服务;签名、模板图片、视频和关键帧已完成第一版后端文件资源。
4. 完善 API 代理AI 和语音已完成第一版后端代理,后续应补限流、审计、错误分级和第三方调用隔离测试。
5. 增强 HTML 清洗:当前报告和模板保存已有第一版白名单过滤,后续需覆盖 AI 返回、导入文件、旧数据迁移和绕过测试。
6. 增加审计日志:当前登录、报告/模板/用户/设置/文件修改已有第一版审计,后续补查看日志、打印/导出错误追踪和第三方代理调用摘要;报告导出不要求专门导出审计。
7. 增加数据备份与恢复:避免浏览器清理缓存造成业务数据丢失。

110
docs/testing.md Normal file
View File

@@ -0,0 +1,110 @@
# 测试文档
## 测试命令
```bash
npm run lint
npm run test
npm run test:e2e
npm run server:build
npm run build
```
当前单元/组件测试框架为 Vitest运行环境为 jsdom。React 页面测试使用 Testing Library。端到端测试使用 Playwright当前仍以 localStorage 种子数据锁定迁移期前端基线行为;登录相关测试会 mock Auth API。后端使用 Vitest 覆盖权限策略、schema、DTO 映射、Nest HTTP 层集成测试和真实 PostgreSQL 服务集成测试NestJS API 构建用 `npm run server:build` 验证。
## 测试范围
| 范围 | 当前覆盖 |
| --- | --- |
| 数据初始化 | 登录页首次加载会创建默认用户、模板、字段和系统设置。 |
| 前端 API client | 统一解包 `{ data }` 响应、携带 Cookie credentials、识别后端错误 envelope。 |
| 前端 Dashboard API | 工作台统计封装会请求 `/api/dashboard/stats` 并校验响应结构。 |
| 前端语音代理地址 | 根据当前页面来源或 `VITE_API_BASE_URL` 生成 `/api/speech/iat` WebSocket 地址。 |
| 前端字段库和文件 API | 字段库读取/更新、通用文件列表/上传封装。 |
| Auth 兼容映射 | 后端 `doctor` 角色会映射为当前前端使用的 `user`,并保留本地签名和模板授权。 |
| 权限展示 | 侧边栏会按角色显示或隐藏模板管理、用户管理等入口。 |
| 报告权限 | 医生只看到本人报告,管理员看到本部门报告,超级管理员看到全部本地报告。 |
| 后端报告映射 | Report API 使用 `metadata` 兼容前端扩展字段,使用 `ReportMedia` 组装视频/关键帧兼容字段。 |
| 模板权限 | 医生可使用本部门授权模板和个人模板,不能使用他人个人模板。 |
| 后端模板映射 | Template API 返回前端可消费的 `Template` 结构,并生成权限策略资源。 |
| 后端用户映射 | Users API 返回前端可消费的 `User` 结构,并把部门模板授权映射成 `visibleTemplates/manageableTemplates`。 |
| 后端设置校验 | Settings API 使用 schema 校验抽帧、AI Provider 和语音配置。 |
| 后端 AI 代理入参 | AI Proxy 使用 schema 校验 OpenAI 兼容消息和多模态内容。 |
| 后端语音代理帧处理 | Speech Proxy 对首个讯飞 IAT 音频帧补齐 APPID 和默认业务参数,后续帧保持兼容。 |
| 后端字段库和文件 schema | Library/Files API 校验字段库和通用文件上传 payload。 |
| 后端 HTTP 集成 | Nest HTTP 层覆盖 API prefix、登录会话、未登录保护、受保护接口 actor 传递。 |
| 后端真实数据库集成 | 使用 Prisma/PostgreSQL 覆盖 Auth、Dashboard、Reports、ReportMedia、Templates、Files、HTML 清洗和审计核心服务。 |
| 存储封装 | 常规 JSON 存储、`systemSettings` 混淆、历史明文兼容、session 恢复键。 |
| 默认模板契约 | 智能字段、图片占位符、AI 区域、默认字段和 AI Provider 配置。 |
| 打印入口 | `printDocument` 会创建隐藏 iframe、写入报告 HTML 并调用浏览器打印。 |
| E2E 登录流程 | Playwright 验证默认快捷登录进入工作台。 |
| E2E 权限过滤 | Playwright 验证超级管理员、管理员、医生在报告管理页的可见范围。 |
| E2E 报告修订 | Playwright 验证已完成报告再次完成保存后 `revision` 递增并保留历史。 |
| E2E 个人模板 | Playwright 验证医生可保存个人模板且模板仅归属本人。 |
| 后端权限策略 | Vitest 验证报告、模板、用户和管理员创建权限策略。 |
## Mock 边界
测试中 mock 了以下浏览器或外部边界:
- `fetch('/logo_square.png')`:用于登录初始化图片资源。
- `/api/auth/me``/api/auth/login`:组件测试和登录 E2E 中使用 mock避免单元/E2E 依赖真实数据库。
- `window.alert` / `window.confirm`:避免测试阻塞。
- `document.execCommand`:当前富文本编辑依赖浏览器命令。
- `URL.createObjectURL` / `URL.revokeObjectURL`:用于文件、视频和导出。
- iframe `contentWindow.print`:用于验证打印入口,不生成真实 PDF。
AI 第三方接口、讯飞语音上游 WebSocket、麦克风权限和真实视频 canvas 抽帧没有在自动化测试中直连原因是它们依赖第三方服务、硬件权限或真实媒体解码。AI 代理已有 schema 测试,语音代理已有首帧处理测试,后续应增加隔离测试密钥的 HTTP/WebSocket 集成测试。
## 测试清单
| 功能 | 测试状态 | 说明 |
| --- | --- | --- |
| 登录默认数据初始化 | 已覆盖 | `Login.test.tsx` |
| 后端登录禁用账号错误 | 已覆盖 | `Login.test.tsx` |
| API client 响应/错误处理 | 已覆盖 | `api/client.test.ts` |
| Dashboard API 封装 | 已覆盖 | `api/dashboard.test.ts` |
| 语音 WebSocket 代理地址 | 已覆盖 | `api/speech.test.ts` |
| 字段库 API 封装 | 已覆盖 | `api/library.test.ts` |
| 通用文件 API 封装 | 已覆盖 | `api/files.test.ts` |
| 后端用户到前端用户映射 | 已覆盖 | `auth/backendUser.test.ts` |
| 角色菜单权限 | 已覆盖 | `Sidebar.test.tsx` |
| 报告列表角色过滤 | 已覆盖 | `ReportManage.test.tsx` |
| 报告权限工具 | 已覆盖 | `permissions.test.ts` |
| 模板权限和个人模板 | 已覆盖 | `permissions.test.ts` |
| 本地存储读写与容错 | 已覆盖 | `storage.test.ts` |
| 系统设置混淆兼容 | 已覆盖 | `storage.test.ts` |
| 默认报告模板结构 | 已覆盖 | `defaultContent.test.ts` |
| 默认字段和 AI Provider | 已覆盖 | `defaultContent.test.ts` |
| 打印导出入口 | 已覆盖 | `print.test.ts` |
| 默认快捷登录 | 已覆盖 | `e2e/login.spec.ts` |
| 报告权限 E2E | 已覆盖 | `e2e/report-permissions.spec.ts` |
| 报告修订版本 E2E | 已覆盖 | `e2e/report-revision.spec.ts` |
| 医生个人模板 E2E | 已覆盖 | `e2e/personal-template.spec.ts` |
| 后端报告/模板/用户权限策略 | 已覆盖 | `server/src/permissions/permissions.policy.test.ts` |
| 后端报告兼容映射 | 已覆盖 | `server/src/reports/report.mapper.test.ts` |
| 后端模板兼容映射 | 已覆盖 | `server/src/templates/template.mapper.test.ts` |
| 后端用户兼容映射 | 已覆盖 | `server/src/users/users.mapper.test.ts` |
| 后端系统设置 schema | 已覆盖 | `server/src/settings/settings.schemas.test.ts` |
| 后端 AI 代理 schema | 已覆盖 | `server/src/ai/ai.schemas.test.ts` |
| 后端语音代理首帧处理 | 已覆盖 | `server/src/speech/xf-frame.test.ts` |
| 后端字段库 schema | 已覆盖 | `server/src/library/library.schemas.test.ts` |
| 后端文件 schema | 已覆盖 | `server/src/files/files.schemas.test.ts` |
| 后端 HTTP 集成 | 已覆盖 | `server/src/http.integration.test.ts` |
| 后端真实数据库集成 | 已覆盖 | `server/src/database.integration.test.ts`,含 Dashboard 角色范围、报告媒体关系表同步、报告 HTML 清洗和审计写入。 |
| 后端健康检查和认证 API | 已覆盖 | HTTP 集成测试覆盖健康检查、登录 session 和未登录保护;真实数据库集成覆盖 Argon2 登录、禁用账号和数据库 Session Store。 |
| 模板编辑器深度交互 | 待 E2E | 依赖 contentEditable 和 execCommand。 |
| 报告编辑器完整流程 | 部分覆盖 | 已覆盖保存修订版本和个人模板;模板切换、字段同步仍待补。 |
| 视频抽帧 | 待 E2E/人工 | 依赖真实视频解码和 canvas。 |
| AI 撰写 | 待集成测试 | 需要隔离外部模型服务。 |
| 讯飞语音听写 | 部分覆盖/待集成测试 | 已覆盖后端首帧处理;完整链路仍需要 WebSocket 集成测试、麦克风权限和测试凭证。 |
## Playwright 说明
首次运行如果提示浏览器缺失,执行:
```bash
npx playwright install chromium
```
当前 E2E 测试不会依赖真实后端数据库:登录 E2E mock 认证 API其余业务 E2E 通过 `e2e/helpers.ts` 写入 localStorage 种子数据。后端化后应保留这些用户流程测试,并逐步把数据准备方式从 localStorage seed 改为 API seed 或测试数据库 seed。