|
|
@@ -155,7 +155,8 @@ Approved
|
|
|
- 企业用户只能访问自己关联的企业数据(通过`company_id`验证)
|
|
|
|
|
|
**企业数据隔离实现细节**:
|
|
|
-- 在服务层实现企业数据过滤:所有查询必须包含`company_id`条件(从认证用户的`company_id`字段获取)
|
|
|
+- **重要安全要求**:所有统计API**不接受`companyId`查询参数**,企业ID强制从认证用户的JWT token中获取,确保企业用户只能访问自己关联的企业数据,防止越权访问。
|
|
|
+- 在服务层实现企业数据过滤:所有查询必须包含`company_id`条件(从认证用户的`company_id`字段获取,通过`enterpriseAuthMiddleware`中间件验证)
|
|
|
- 对于订单统计:通过`employment_order.company_id`过滤
|
|
|
- 对于数据统计:统计范围限定在企业关联的人才数据(通过`employment_order`→`order_person`→`disabled_person`关联链)
|
|
|
- API层面验证:中间件验证用户`company_id`不为空,服务层验证查询结果的企业ID与用户企业ID匹配
|
yourname