1. 09 Jul, 2026 2 commits
    • feat(plans): 左栏患者列表加「回访结果」角标(成功/不成功/保持) · 23e18d92
      有提交过执行记录的患者,在列表行左上角按最近一次 outcome 的分组打标签,
      分组/文案/配色复用 @pac/types EXECUTION_OUTCOME_META 单一真理源。
      列表接口批量带出每 plan 最近 outcome;详情页提交回访后左栏角标即时反映(不重拉)。
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
    • feat(embed): 患者卡片「潜在治疗」/ 通话结果「回访」走 postMessage 通知宿主 · d98dcbd4
      - 新增两个 postMessage 动作 OPEN_POTENTIAL_TREATMENT / OPEN_RETURN_VISIT(入 HostActionKey
        + HOST_ACTION_META,admin 下拉可选);HOST_ORIGIN 作 postMessage targetOrigin,走 host 配置
        (会话下发的 actionUrls.HOST_ORIGIN),禁用 '*'
      - 患者卡片右上角「影像/档案」→「潜在治疗」;通话结果「拨打」→「回访」,固定就是这套(不判断 iframe)
      - 信封只含 { source:'pac', action, payload:{patientId} };patientId=external_id
      - postToHost 只在未配 HOST_ORIGIN 时提示;宿主侧监听校验 origin + source 后弹自己的组件
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
  2. 08 Jul, 2026 1 commit
    • feat(action-urls): 会话下发 actionUrls + 「新建预约」按钮消费(配置驱动,不写死) · 1506e2fa
      - /auth/session 返回当前 host 的 actionUrls(AuthService.getActionUrls),所有角色可拿,
        不再依赖 admin 端点;SessionResponse 加 actionUrls 字段
      - 前端 loadSession 把 actionUrls 存进会话 user;「新建预约」读 actionUrls.CREATE_APPOINTMENT
        → 替换 {patientId}(=external_id)/{doctorId} → window.open(_top);未配置则提示去配
      - 宿主动作 URL 仍是宿主在 admin 配的数据,代码零硬编码
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
  3. 07 Jul, 2026 3 commits
    • fix(embed): 去掉「新建预约」插槽写死的 localhost 兜底(demo 接线泄漏) · 6182b2f5
      上次把按钮从占位 toast 改成了 window.open('http://localhost:4100/appointment','_top'),
      硬编码 URL 随部署上了生产 —— 线上点击会 _top 跳到用户本机 localhost 死链。
      回退成原占位 toast;删除 action-urls.ts(带写死默认值的配置)。真实接入时 URL 由
      宿主 actionUrls / env 下发,代码不写死。
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
    • chore: 入库会话前既有的工作区改动 · 9cdf04ef
      会话前已存在、本次一并提交:cold-import.service / sync-incremental scheduler /
      clinical-gap potential-treatment-gap SQL / cold-import manifest.schema /
      dw-lag-monitor / canonical-codes / ingestion·monitoring 文档 / jvs-dw manifest.yaml /
      package.json / pnpm-lock / .gitignore(next-env.d.ts)/ docs/friday-saas-mapping-temp。
      非本次会话产出,随此次部署一并落地。
      luoqi committed
    • feat(embed): 宿主嵌入体验 —— 隐藏 PAC 品牌/用户、会话失效兜底、动作走链接;org-tree 冷派生优化 · 1cf137ac
      - 嵌入检测(window.top):隐藏 PAC 品牌/用户/登出(IdentityCluster),会话失效显示
        「登录已过期+重试」而非 dev 快速登录(SessionExpired);模拟登录嵌入态不出现
      - 动作插槽(新建预约等):PAC 直接 window.open 宿主链接,不 iframe 嵌、不 postMessage、
        无 returnUrl;患者上下文经 query 传,回跳靠 history.back()/宿主自己的召回页
      - org-tree 派生:启动预热(OnApplicationBootstrap)+ loose index-scan 改写,
        冷派生 ~3.8s→~1ms,消除首个 scoped 用户登录尾延迟
      - docs: overview §4/§5 补 actionUrls 打开方式/回跳、sandbox 权限、嵌入隐藏、会话失效
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
  4. 03 Jul, 2026 1 commit
    • feat(push): 存量/增量同一通道 —— 归一统一 / 乱序裁决 / stub 自建 / 并发闸 + 断流告警 · 33a826e7
      把 push(形态 A/C)打磨成宿主唯一接入通道,存量=按批重放的增量:
      
      摄入一致性(消除同源分叉):
      - 形态 C 复用 normalizeCanonical(金额元→分 / 无时区时间补 offset),含 envelope
        occurredAt/updatedAt —— 与形态 A/pull 同一转,宿主用自己系统的格式发,不做转换。
      - 业务事件先于患者主档到达 → dispatcher stub 自建空壳患者(对齐 form A),主档后到补全
        同一行,不双人;push 跨批顺序无关。
      
      幂等/乱序:
      - patient_facts 加 source_updated_at,fact-writer 按它裁决:更旧版本晚到 → stale_skipped
        跳过,不旧覆新。关掉"补推快照 vs 实时推送并发交错"的乱序窗口。
      
      体制/性能:
      - 限批 500(A 从 2000 对齐 C);persona 入队去抖(5min 桶去重,存量批次合并重算)。
      - 同 host 并发闸(信号量,PAC_PUSH_CONCURRENCY 默认 4;幂等+裁决保证并发语义=串行)。
      - 单飞锁索引收窄 WHERE direction='pull' —— 原索引把并发 push 批次拦成 P2002/500。
      
      异常/可观测:
      - 整批全失败 → 拒收 30802 + SyncLog FAILED;失败率/疑似改表 → 告警。
      - 未知 source → 10001(非 90000,避免宿主对永久错误无限重试)。
      - push 断流监控(超 26h 无 push 告警);form A 响应透出 mappingMisses/suspectFields 供自检。
      
      文档 channel-push 按宿主视角重写(subjectType 单一口径、金额时间统一"原样发 PAC 归一")。
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
  5. 02 Jul, 2026 2 commits
    • docs(integration): 登录授权补请求参数字段表 + 修 dictionary 必填/orgScope 拼写 · 984e05cc
      请求参数按 role 表那样逐字段列出(字段/类型/必填/说明),对接方更易懂。
      dictionary 标注为选填(schema 是 .optional(),不传换票仍成功,仅显示原始 id)。
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
    • feat(callback): 执行结果回调(PAC → 宿主)+ 修 push 密钥存储 + 修凭据页刷新 · 4c8c70a7
      执行结果回调(opt-in,宿主配 callbackUrl 才投递):
      - Host 加 callbackUrl + callbackSecrets(存原文,PAC 签名用);迁移加两列。
      - ExecutionService.submit 提交后入 execution-callback 队列(6 次退避重试,死信可见)。
      - ExecutionCallbackService:查 execution→plan→patient 拼 payload,HMAC-SHA256("{ts}.{body}")
        签名(与 push 入站同配方),fetch+8s 超时,非 2xx/超时抛错交 BullMQ 重试;jobId=executionId 幂等。
      - 凭据页新增「执行结果回执」区:callbackUrl 输入 + Callback Secrets(add/rotate/grace/删),
        suffix 用 sha256 指纹不回显原文。对接文档同步。
      
      顺手修 push 密钥存储 bug:
      - create/rotate 原本存 scrypt 哈希,但 HmacVerifier 把它当原文做 HMAC key → 宿主拿明文、
        PAC 拿哈希,两边 key 不一致,push 验签永远过不了。改为存原文(对齐 seed 与 verifier 预期)。
      - 本地实测:轮换后用返回的明文签名 → 验签通过;错误签名 → 10106 拒绝。
      
      修凭据页「刷新即整页重载」:
      - useHostAdmin.refresh 一进来就切 loading,父组件把整页换成占位、卸载 HostAdminApp,
        连带把"仅显示一次"的明文 secret 弹窗刷没(来不及复制)。改 stale-while-revalidate:
        已有数据不切 loading,旧数据留屏后台重取。
      
      Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
      luoqi committed
  6. 01 Jul, 2026 6 commits
  7. 30 Jun, 2026 4 commits
  8. 28 Jun, 2026 2 commits
    • fix(persona): getMonetaryQuantiles 加 single-flight 防并发惊群卡死 · 64e0325e
      并发重算(--concurrency>1)时发现:缓存空/过期瞬间,N 个 recompute 同时调
      getMonetaryQuantiles → 同时发 N 份全租户聚合 $queryRaw(370万 facts 实测单跑 4.1s)
      → 打爆 4 核 DB + 连接池 → 进程卡死(stat=S,0 吞吐)。串行版无事因缓存命中只跑 1 次;
      且缓存 30min 过期,长批(~1.6h)半路会再次惊群。
      
      修:single-flight —— 缓存 miss 时把在飞 Promise 存 map,并发调用复用同一个查询,
      只跑 1 份。等待者 await JS promise(不占 DB 连接)。根治,也利好增量 cohort 路径。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • perf(persona): recompute CLI 加 --concurrency(默认1)—— I/O-bound,并发 ~4.5x · b5de1a0c
      实测推翻旧注记"persona 重算 CPU-bound、异步并发不提速":每患者 recompute 含 ~15 次
      串行 DB 往返(2 次全量 fact 读 + 多次 findFirst),实为 **I/O-bound**。单进程分块
      Promise.all 并发可重叠这些 DB 等待 —— 本地 500 患者 17s(串行)→ 4s(并发16),~4.5x,
      concurrency 8-16 后 plateau(DB 成瓶颈)。正确性验证:500/500 各 1 active persona、
      0 重复版本、0 空特征(不同患者独立写 + 同患者不并发,无竞争)。
      
      - --concurrency=N:分块并发(默认 1 向后兼容)
      - --shard=i/k:多进程分片(按患者序号取模,吃多核;DB 先饱和时用)
      - 大批(>500)只打进度行不逐条刷屏;orderBy id 稳定序供分片
      
      全量重算 131689 患者:7h(串行)→ ~1.6h(并发12)。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
  9. 27 Jun, 2026 19 commits
    • fix: agent 审查的一致性/UX 收口(by-id 守卫、死代码、陷阱注释、集团级诊所筛选) · c1b44721
      后端:
      - plan.recomputeByPatient:patient 守卫补 source_unit(与其它 by-id 守卫对齐;防跨品牌触发重算 + 存在性探测)
      - persona.getByVersion:删(无 scope 的 findUnique by-id,死代码,属之前修过的泄漏模式)
      - cold-import:改"sourceUnit:''(过渡)"陷阱注释为真实语义(从 manifest 解析,勿退回 '')
      - auth.allClinics:去"恰好两品牌"硬编码,改 Object.values(MOCK_PRESETS) 遍历;refresh/mcp 陈旧注释(clinicIds→orgScope)
      
      前端:
      - auth-store:setTokens 同 sub 沿用上次 clinicIds 占位,消除 silent refresh 时诊所筛选闪空(M2 竞态)
      - visibleClinics(user) helper:clinicIds 空(集团级=不限)→ 回退字典全部诊所,修集团登录后诊所筛选空白(M1);
        4 处(plans-list/patient-picker 筛选 + plans/plan-detail 计数)统一用它
      
      两端 tsc 0 错。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • fix(auth): expandOrgScope fail-closed — 树外 ref 不再退化成"不限品牌"(跨品牌泄漏) · 42b9e8da
      agent 审查(3 个独立都挖到)的真·安全洞:expandOrgScope 对树里找不到的 ref 兜底成
      "当裸 clinicId、sourceUnits 留空"。而瑞尔/瑞泰共用 tenantId,sourceUnits=[] 被下游当
      "不限品牌" → 跨品牌看全部患者(含真号 reveal)。触发:退化树(无数据)、新诊所未进树、
      10min 缓存陈旧。
      
      - org-scope:探测 branded(树有非空 source_unit);品牌制租户 + 非空 scope 却没解析出
        任何品牌 → 塞 DENY_SOURCE_UNIT 哨兵(患者查询返回空),不退化成不限。命中集团根仍合法不限。
        单命名空间/退化树(无品牌)→ 维持 [] 不限(正确)。回传 unresolved 供刷新重试。
      - org-tree:展开有 unresolved → 强制重派生树一次再展开(避免误拒刚摄入的新诊所合法用户);
        forceRefresh 30s 防抖,挡 bogus ref 刷库。
      
      单测:品牌ref/诊所ref正常、集团根→不限、未知ref→DENY、混合(含已解析品牌)→限该品牌不DENY、
      单命名空间未知ref→不限。活体三级 + REST 无回归。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • refactor(auth): org 树从摄入数据派生(零硬编码 id,跨环境自适应) · 2a858612
      之前 org-tree 复用 jvs-dw-preset 的硬编码 clinic UUID 建树 —— 把通用隔离路径绑死到
      mock 演示数据 + 写死 id(换环境/换 DW 即废)。改为从摄入数据派生:
      
      - OrgTreeService(注入 Prisma):$queryRaw 从 patient_transactions.clinic_id JOIN
        patients.source_unit 派生「品牌→诊所」,按 (hostId,tenantId) 缓存(10min TTL);
        无数据→退化树。对任何 host/环境自适应,零硬编码 id。
      - AuthModule 导出 OrgTreeService;tenant-scope 拦截器(from+mergeMap 异步展开,ALS 不变)
        与 mcp-auth 注入它,每请求 expandScope。
      - jvs-dw-preset 退回**仅 mockLogin 用**(dev,env 门控):集团/品牌 slug 是稳定逻辑名;
        clinic UUID/中文名仅演示展示,无数据源,换环境降级成 id —— 隔离仍由 DB 派生树保证正确。
      
      验证(DB 派生树):诊所级石琳 sourceUnits=['瑞尔']/2诊所、品牌瑞尔/3、瑞泰/2、集团不限、
      REST /plans 仅命中本诊所 —— 与原硬编码结果一致。tsc 0 错。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • refactor(auth): JWT 改装通用 orgScope,过滤维每请求展开(设计 B) · 7fd4c0d8
      JWT 是 host 也能解码的凭证,原先装展开后的 sourceUnits/clinicIds(PAC 内部 schema 词汇),
      与"host 只发 org_scope"的契约不一致、泄漏内部表示。改为 JWT 只装 orgScope(与契约同词汇),
      过滤维留到每请求展开:
      - AccessTokenPayload / RefreshPayload:sourceUnits/clinicIds → orgScope;issueTokens 不再展开,直接签
      - org-tree.ts(纯函数 expandScope:按 tenantId 选 host org 树展开)+ jvs-dw-preset.ts(树数据,与 mock 共用)
      - tenant-scope.interceptor(REST)/ mcp-auth(MCP)每请求 expandScope → scope.{sourceUnits,clinicIds}
      - 前端展不开 orgScope → 新增 GET /auth/session 返回展开后的 clinicIds/sourceUnits + role/permissions/dictionary;
        auth-store 加 loadSession(登录/F5 后异步补进 user),组件读 user.clinicIds 不变
      - weixin-aibot 自签 token 同步改 orgScope;契约文档 §2/§3 同步
      
      验证:JWT 解码只含 orgScope;/auth/session 展开正确;REST /plans 诊所过滤生效(石琳仅本诊所);
      集团级 orgScope=[grp]→clinicIds=[]/sourceUnits=[] 不限。两端 tsc 0 错。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • fix(web): 模拟登录对话框分清两套权限 —— 角色=功能,选谁/哪级=数据范围 · fd57d73d
      原文案把数据权限说得像跟着角色("看自己的/看本团队所有任务"其实是 view_own/view_all
      功能权限,却像在描述数据范围)。点透两轴(正交):
      - 顶部加一句:① 角色=能做什么(功能);② 选谁/哪级=能看哪些诊所品牌(数据权限,跟角色无关)
      - ① 标题 "登录权限(角色)" → "角色 · 能做什么(功能权限)";角色 desc 改成纯功能口径
      - 集团按钮 "集团·X 身份" → "数据范围 · 集团级 …… 角色沿用上方「X」"(数据范围与角色解耦)
      - ② "选客服" → "数据范围 · 选客服 = 该客服的诊所(诊所级)+ 上方角色"
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • refactor(auth): 契约数据权限收敛为 orgScope 唯一入口(删 clinicIds/sourceUnits 入参) · aefe33ed
      第一性:换了 org-scope 数据权限后,clinicIds/sourceUnits 是 expandOrgScope 的**展开产物**
      (PAC 内部过滤维),不该出现在对外契约入参里 —— host 只该传"用户可达的 org 节点"。
      
      - TokenExchangeUser:删 clinicIds + sourceUnits,orgScope 转必填(任意层级:集团/区域/品牌/诊所)
        诊所级即传诊所 id;没品牌概念的 host 同理。clinicIds/sourceUnits 仅留在内部 JWT AccessTokenPayload。
      - issueTokens:永远走 orgScope 展开;非 jvs-dw host 用退化树(根=tenantId,无子)→
        orgScope 里诊所 id 当裸诊所透传、sourceUnits 留空、根 id=不限。删显式 fallback 分支。
      - auth-login-contract.md:org_scope 从"P2 可选增强"翻正为唯一契约入口;派生表/示例/实现现状同步
      - 活体三级复验:集团 []/0(不限);品牌 ["瑞尔"]/3;诊所 ["瑞尔"]/2
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • refactor(auth): mockLogin 走对外契约同一路径(issueTokens 单一真理源)+ 修 ['default'] bug · e7c3b3eb
      第一性:模拟登录 = 模拟 host 调换票,本应产出契约同形 user 上下文(核心 orgScope)
      并走与 exchangeToken **同一条**展开+签发。之前 mockLogin 把 expand+sign 抄了一遍,已飘:
      - 抽出 private issueTokens(host, user):orgScope→expandOrgScope→sourceUnits+clinicIds→签 access/refresh
      - exchangeToken 与 mockLogin 都委托它;mockLogin 只负责"preset → 契约 user(算 orgScope)"
      - 删 exchangeToken 的 clinicIds 空→['default'] 兜底:空=不限(下游 plan 过滤 length>0 才加),
        兜底会把集团级误锁成不存在的诊所 → 啥都看不到(mockLogin 本就没这兜底,统一后契约路径一并修)
      
      活体验证三级:集团 sourceUnits=[]/clinics=0(不限);品牌 ["瑞尔"]/3;诊所 ["瑞尔"]/2;瑞泰 ["瑞泰"]/2
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(auth): org 树改递归结构 —— 层级无限(支持多级区域) · 07a32a03
      之前 OrgTree 是写死的 3 层形状 { groupId, brands:{clinics[]} },塞不进区域层。
      改成递归 OrgNode(children 无限嵌套):集团→多级区域→品牌→诊所→…均可。
      expand 逻辑不变 —— 过滤永远只落 sourceUnits/clinicIds 两维,中间层只是分组,
      展开任意节点 = 走子树收集这两类叶子属性。
      
      - OrgNode 递归类型 + buildTree(通用) ;buildOrgTree(3 层糖)签名/tree.groupId 不变
      - sourceUnit 命名空间**向下继承**:scope 到单诊所时带上祖先品牌,
        否则 sourceUnits 退化成空(不限品牌)= 越权看全品牌患者(测试抓出,已修)
      - 扁平索引按 id **聚合**(数组),同一品牌跨多个区域时全收,不被 Map 覆盖丢诊所
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(auth): org 树从配置派生(去 hardcode)+ 模拟登录支持集团/品牌/诊所三级 · 44539c27
      - org-scope:删 JVS_DW_ORG_TREE hardcode,改 buildOrgTree(从配置/数据派生);
        实现对所有 host 通用,树数据 3 层本就在数据里(yaml 只为区域等数据外的层)
      - auth:jvsDwOrgTree() 从 MOCK_PRESETS 派生;exchangeToken + mockLogin 都走 expandOrgScope
      - mockLogin:数据范围统一 org-scope —— 诊所级(选客服)/品牌级(仅品牌)/集团级(orgLevel=group,
        sourceUnits=[] 看全部品牌全部诊所);MockLoginRequest 加 orgLevel
      - 前端:加"以集团身份登录"按钮(跨品牌,验证数据权限最上一层)
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(auth): 标准数据权限 org-scope(内存树展开,不建表) · db2c0874
      数据权限 = 用户的 org 范围(任意层级:集团/品牌/诊所)。expandOrgScope() 把
      org 节点展开成 sourceUnits + clinicIds(已有过滤层不变):
        诊所 ref → 该诊所 + 所属品牌;品牌 ref → 该品牌 + 其下全部诊所;
        集团 ref / 空 → 不限。多 ref 取并集。
      - org-scope.ts:jvs-dw 内存树(ruier-grp→瑞尔/瑞泰→诊所)+ expandOrgScope
      - 契约 exchangeToken 接 orgScope(优先于显式 sourceUnits/clinicIds)→ 展开
      - TokenExchangeUserSchema 加 orgScope
      验证:诊所/品牌/集团/跨品牌四级展开均正确。通用态树放 manifest yaml。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • fix(tenant): agent 审查发现的 4 个 HIGH · a6d7eb22
      ① source_event_id 品牌盲 → 数据丢失(HIGH):synthesizer 的幂等键
         ${ctx}:${resource}:${subjectId}:${updatedAt} 不含品牌,两品牌同 subjectId+
         updatedAt 撞键被去重跳过 → 丢 transaction/fact。并进 source_unit(re-import 仍幂等)。
      ② persona by-id 跨品牌泄漏(HIGH):/patients/:id/persona 的 getCurrent 无 scope 过滤
         (Persona 非 source_unit 模型,纵深防御只注 tenantId 不注品牌)。加经 patient 关系的
         sourceUnit 过滤;controller + 2 处 MCP 调用传 scope。
      ③ MCP by-id 泄漏(HIGH):MCP @Public 无 ALS 上下文,纵深防御不兜;
         assertPatientInScope / activeRecallPlan 只按 host+tenant,补 sourceUnit 过滤。
      ④ exchangeToken 真 host SSO 丢 sourceUnits(latent):TokenExchangeUserSchema 加
         source_units + exchangeToken 透传(否则真 host 登录 = 不限品牌)。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • docs(auth): 登录对外契约(集团模型) · b16f58b0
      host→PAC 登录输入规范:host_id + group_id + user{id,name,role} +
      source_units(品牌数据范围,空=不限)+ clinic_ids;PAC 派生 permissions/
      dictionary,signAccessToken 签发新契约 token。mock 与真 host 共用 signAccessToken
      + 同一 token 形状,差别仅输入来源。含隔离保证映射。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(tenant): 纵深防御 — Prisma 扩展按 ALS 上下文自动注入 tenantId/source_unit · 927021a0
      - tenant-context.ts:请求级 AsyncLocalStorage(tenantId/sourceUnits)
      - tenant-guard.extension.ts:$extends 对 14 张 scoped 表的列表/聚合读查询自动注入
        tenantId(+ source_unit 模型注品牌);findUnique 不注(破坏唯一键,by-id 走显式守卫);
        无 ALS 上下文(系统任务)不注;$queryRaw 不经扩展(召回引擎自带隔离闸)。env
        PAC_TENANT_GUARD=warn 可切观察模式
      - prisma.service:构造器 return this.$extends(...) 透明接入(services 不改)
      - tenant-scope.interceptor:handler 在 tenantAls.run 内执行(subscribe 包裹)
      
      验证(已删一次性 CLI):注错 tenant→0、限品牌→该品牌数、系统任务不注、findUnique 不破。
      关键:Prisma 惰性查询,await 须在 als.run 内 — interceptor 的 handler 正满足。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • chore(web): 模拟登录对齐集团模型(品牌 vs 租户正名) · fa71191b
      ruier/ruitai 注明为**品牌(source_unit)**,同属集团租户 ruier-grp;
      类型 TenantSlug→BrandSlug。功能不变(slug 经后端 MOCK_PRESETS 映射为
      tenantId=ruier-grp + sourceUnit)。正式 SSO 对外契约(host_id+group_id+
      org_scope)待 host 接入时实现。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • fix(tenant): dispatcher source_unit 串通 + reconcile 守卫升级(零碎待办) · df2271eb
      - pipeline-dispatcher:加 identityNamespaceField,patient upsert/index/patientIdResolver
        全按 (source_unit,external_id) 复合键(pull/push/reconcile 多命名空间 host 也正确;
        单命名空间默认 '' 不变)
      - reconcile 守卫:除 distinct tenant 外也查 distinct source_unit —— 合集团后 jvs-dw
        只剩 1 tenant 但 2 source_unit,旧守卫拦不住会撞号;现多命名空间一律转 cold-import
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(tenant): P0-5 by-id 守卫补品牌隔离 · 7554f95b
      患者详情(reveal/timeline)、plan 详情/分配/回收、plan-aggregate 详情:
      by-id 取数也按 patient.sourceUnit 圈品牌(findUnique→findFirst + patient 过滤,
      命中不到→现有 NotFound 守卫接住)。sourceUnits 空=不限(集团级角色)。
      至此 §4.4 数据范围在患者粒度的品牌隔离全覆盖(搜索/列表/by-id)。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(tenant): P0-4 查询层品牌隔离(scope.sourceUnits)+ 去写死 UUID · 62168f4f
      - token/scope 加 sourceUnits(用户所属品牌;空=不限,集团级角色)
      - 数据范围在患者粒度按品牌圈:患者搜索 + plan 列表(patient.sourceUnit,覆盖召回池)
      - auth mock 预设 tenantId→ruier-grp + sourceUnit;weixin fallback→ruier-grp
      - mcp/timeline/weixin 手动 scope 补 sourceUnits
      
      至此 P0 代码完整:3 表 source_unit + 摄入 + 集团 slug + 品牌隔离查询。
      本地重摄已验证:external_id 261067 → 王辰(瑞尔)/王文彦(瑞泰)两条独立行,
      facts source_unit 全填,tenant=ruier-grp。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • feat(tenant): P0-3 patient_facts/return_visits 加 source_unit + fact-writer 版本链隔离 · 7325beed
      - schema+migration:patient_facts (host,tenant,source_unit,subject_id,version)、
        patient_return_visits (host,tenant,source_unit,external_id)
      - fact-writer:writeDraft/bulkWrite 的版本链 findFirst + 史表查 + liveLatest map
        全按 (source_unit, subject_id) 复合键隔离;create 带 source_unit
        (集团内 subject_id 品牌级撞 631,不隔离会取错品牌版本=改坏 fact 历史)
      - parser-pipeline:按 patientId 查患者 source_unit(批内一次取),注入 PrismaService
      - cold-import:return_visit upsert 带 source_unit
      - 删旧原地迁移脚本 — 改用"清空重摄"(本地/服务器均可),无原地改 fact 版本链风险
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed
    • docs(refactor): 记录前置审发现 — source_unit 需加 3 张表(facts/return_visits 也撞键) · 5c50cfc3
      实施期 pre-check:patient_facts.subject_id 跨品牌撞 631、patient_return_visits
      .external_id 撞 611,均品牌级,合 tenant 会撞键。故 source_unit 必须加在
      patients + patient_facts + patient_return_visits 三张表;fact-writer 版本链
      findFirst 也须按 source_unit 过滤。transactions(撞0)、relations(UUID)免。
      
      Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
      luoqi committed