@agile-team/wl-skills-kit 2.3.6 → 2.3.7

package/CHANGELOG.md

@@ -1,5 +1,14 @@
 # Changelog
 
+## [2.3.7] - 2026-04-29
+
+### 🔐 permission-sync 闭环完善（数据驱动权限）
+
+- **修正权限落地方式**：`action-attach` 模式改为在 `data.ts` 的 `ActionButtonDesc` 上加 `permission: []` 字段，而非错误的 `v-permission` 指令（`BaseToolbar` 内部已做权限拦截）
+- **简化角色授权备份说明**：平台侧已防重复分配；AI 内部做"查旧 menuIds + 合并"，不再建议额外备份
+- **联动说明更新**：`page-codegen` 预留 `permission: []` 占位；`convention-audit` 改为审计 `data.ts` 按钮是否有非空 `permission` 字段
+- `USAGE.md` 补充"为什么不用 v-permission 指令"说明 + Q2 权限码写法示例
+
 ## [2.3.6] - 2026-04-29
 
 ### 🔐 permission-sync Skill 正式激活

package/files/.github/skills/sync/permission-sync/SKILL.md

@@ -1,11 +1,11 @@
 ---
 name: permission-sync
-description: "Use when: managing roles, authorizing menus to roles, attaching action buttons (type=A) to page menus, or wiring v-permission directives in Vue code. Triggers on: 创建角色, 角色管理, 角色授权, 给角色分配菜单, 挂动作, 添加动作按钮, 同步权限, 权限码注册, role assign, permission sync."
+description: "Use when: managing roles, authorizing menus to roles, attaching action buttons (type=A) to page menus, or wiring permission field in data.ts toolbar config. Triggers on: 创建角色, 角色管理, 角色授权, 给角色分配菜单, 挂动作, 添加动作按钮, 同步权限, 权限码注册, role assign, permission sync."
 ---
 
 # Skill: 权限同步（permission-sync）
 
-将系统的**角色 → 菜单授权 → 动作按钮 → 业务代码 v-permission**串成一条链路，覆盖从权限注册到代码落地的全流程。
+将系统的**角色 → 菜单授权 → 动作按钮 → `data.ts` 权限码字段**串成一条链路，覆盖从权限注册到代码落地的全流程。
 
 > **与 menu-sync / dict-sync 的关系**：完全对称，统一从 `.github/skills/sync/env.local.json` 读取配置。`menu-sync` 负责页面菜单（type=M/C），`permission-sync` 负责其上的角色与动作（type=A）。
 
@@ -29,11 +29,11 @@ description: "Use when: managing roles, authorizing menus to roles, attaching ac
 
 ## 三种工作模式
 
-| 模式             | 触发关键词                       | 动作                                                                                |
-| ---------------- | -------------------------------- | ----------------------------------------------------------------------------------- |
-| `role-manage`    | 创建角色 / 角色管理 / 列出角色   | 查询/新增角色（按 `code` 去重，幂等）                                               |
-| `role-assign`    | 角色授权 / 给 XX 角色分配菜单    | 查询全量可授权菜单 → 选定 menuIds → 调用 `saveRoleMenus` 批量分配                   |
-| `action-attach`  | 挂动作 / 给页面加按钮 / 注册权限码 | 在指定页面菜单下批量新增 type=A 动作（按 `permission` 去重）+ 在代码加 v-permission |
+| 模式             | 触发关键词                         | 动作                                                                                            |
+| ---------------- | ---------------------------------- | ----------------------------------------------------------------------------------------------- |
+| `role-manage`    | 创建角色 / 角色管理 / 列出角色     | 查询/新增角色（按 `code` 去重，幂等）                                                           |
+| `role-assign`    | 角色授权 / 给 XX 角色分配菜单      | 查询全量可授权菜单 → 选定 menuIds → 调用 `saveRoleMenus` 批量分配                               |
+| `action-attach`  | 挂动作 / 给页面加按钮 / 注册权限码 | 注册 type=A 动作到后端 + 在 `data.ts` 对应按钮的 `ActionButtonDesc` 加 `permission` 字段，形成完整闭环 |
 
 ---
 
@@ -141,18 +141,37 @@ permission-sync 通过 6 个 MCP 工具完成所有操作（无需手动 fetch
    }
    ```
 
-#### 3.2 在 Vue 代码中加 v-permission 指令
+#### 3.2 在 `data.ts` 中给对应按钮加 `permission` 字段
 
-注册动作后，AI 自动改造对应页面的 toolbar/操作列，加上 `v-permission`：
+本项目使用 `@jhlc/common-core` 的 `ActionButtonDesc` 类型，`BaseToolbar` 内部根据 `permission` 字段做权限拦截——**这是数据驱动方式，无需修改模板，无需 `v-permission` 指令**。
 
-```vue
-<el-button v-permission="'customer_add'" @click="onAdd">新增</el-button>
-<el-button v-permission="'customer_edit'" @click="onEdit">编辑</el-button>
-<el-button v-permission="'customer_remove'" @click="onRemove">删除</el-button>
-<el-button v-permission="'customer_export'" @click="onExport">导出</el-button>
+由于 page-codegen 保证 `data.ts` 结构一致，toolbar 按钮配置始终在 `data.ts` 内。注册动作后，AI 找到对应按钮对象，添加 `permission` 数组字段：
+
+```ts
+// data.ts — 工具栏按钮配置（ActionButtonDesc[]）
+{
+  name: 'add',
+  label: '新增',
+  type: 'primary',
+  permission: ['customer_add'],          // ← 新增此字段
+  onClick: () => modalRef.value?.open()
+},
+{
+  name: 'edit',
+  label: '编辑',
+  permission: ['customer_edit'],          // ← 新增此字段
+  onClick: (row: any) => modalRef.value?.edit(row.id)
+},
+{
+  name: 'remove',
+  label: '删除',
+  type: 'danger',
+  permission: ['customer_remove'],        // ← 新增此字段
+  onClick: (row: any) => handleRemove(row.id)
+},
 ```
 
-> `v-permission` 指令通常由项目基座（如 `@jhlc/common-core` 或登录鉴权模块）注册。若项目未注册，AI 应在 Pre-flight 提示用户"未检测到 v-permission 指令实现，仅完成服务端注册，代码侧指令请由架构组补全"。
+`permission` 值与 §3.1 中注册到后端的动作 `permission` 字段**完全一致**，直接复制使用。`BaseToolbar` 内部读取当前用户权限列表（由登录态注入），自动控制按钮显示/隐藏——无需任何额外处理。
 
 ---
 
@@ -182,9 +201,9 @@ permission-sync 通过 6 个 MCP 工具完成所有操作（无需手动 fetch
 ## 5. 安全约束（强制）
 
 - ✅ **生产环境拒绝直接 push**：`gatewayPath` 含 `prod` / `.com` 时切换为"导出 SQL/JSON"模式，不直接调接口
-- ✅ **角色分配二次确认**：`role-assign` 模式下，必须在 Pre-flight 中列出"角色 → 完整菜单清单"得到用户 yes 才执行
+- ✅ **角色分配全量覆盖处理**：`role-assign` 模式下，AI 内部自动"查旧 menuIds + 合并新增"再调用，防止漏带原有菜单。平台侧已防重复分配，无需额外备份机制
 - ✅ **仅新增不删除**：所有 upsert 工具按唯一键去重跳过；删除走人工 SQL（防误删导致大面积失权）
-- ✅ **审计报告**：每次执行后，在 `reports/PERMISSION_SYNC_<YYYYMMDD>.md` 追加日志（角色/动作变更、调用接口、响应、回滚提示）
+- ✅ **审计报告**：每次执行后，在 `reports/PERMISSION_SYNC_<YYYYMMDD>.md` 追加日志（角色/动作变更、接口调用、data.ts 修改行位置）
 
 ---
 
@@ -210,10 +229,10 @@ Authorization: Bearer <token>
 
 ## 7. 与其他 Skill 联动
 
-- **page-codegen**：生成 toolbar 时根据 `api.md` 的操作集自动加 `v-permission` 指令（在动作 upsert 完成后）
+- **page-codegen**：生成 toolbar 按钮时，若 api.md 中声明了操作集，在 `data.ts` 的 `ActionButtonDesc` 中预留 `permission: []`（空数组占位），等待 permission-sync 后续填入真实权限码
 - **menu-sync**：菜单注册成功后，AI 应主动询问"是否给该页面挂动作？" → 触发 action-attach
-- **convention-audit**：审计页面 toolbar 是否所有按钮都有 `v-permission`（缺失视为偏差）
-- **prototype-scan**：扫描原型时识别按钮 → 写入 `reports/SYS_PERMISSION_INFO.md` 基线
+- **convention-audit**：审计 `data.ts` 工具栏按钮是否都设置了非空的 `permission` 字段（字段缺失或为 `[]` 视为偏差）
+- **prototype-scan**：扫描原型时识别按钮操作 → 写入 `reports/SYS_PERMISSION_INFO.md` 基线
 
 ---
 

package/files/.github/skills/sync/permission-sync/USAGE.md

@@ -38,18 +38,24 @@ AI ： 调用 wls_role_assign_menus
      ✅ 角色授权成功
 ```
 
-### 3. 给页面挂动作 + 加 v-permission
+### 3. 给页面挂动作 + 加权限字段（数据驱动，无需改模板）
 
 ```
 用户：给『客户档案』页面加上 新增/编辑/删除 三个按钮
 AI ： [触发 permission-sync]
      [Pre-flight] 模式 = action-attach
      1. wls_action_query 查询已有动作 → 无
-     2. wls_action_upsert 创建 customer_add / customer_edit / customer_remove
-     3. 改造 src/views/customer/list/index.vue toolbar，加 v-permission
+     2. wls_action_upsert 注册到后端：customer_add / customer_edit / customer_remove
+     3. 在 src/views/customer/list/data.ts 找到工具栏按钮配置，
+        给每个对应按钮的 ActionButtonDesc 添加 permission 字段：
+        { name: 'add', label: '新增', permission: ['customer_add'], ... }
      ✅ 完成（已写报告 reports/PERMISSION_SYNC_20260429.md）
 ```
 
+> **为什么不用 v-permission 指令？**  
+> 本项目 `BaseToolbar` 内部读取 `ActionButtonDesc.permission` 字段做权限控制，  
+> 只需在 `data.ts` 的按钮配置对象里加字段，不需要改 `.vue` 模板，也不依赖全局指令注册。
+
 ---
 
 ## 常见问题
@@ -60,13 +66,21 @@ AI ： [触发 permission-sync]
 
 **正确做法**：先查角色现有菜单 → 合并新菜单 → 一起传。
 
-### Q2：v-permission 指令在哪里实现？
+### Q2：权限码写在 `data.ts` 哪里？不需要改模板吗？
+
+对，**不需要改模板（`.vue` 文件）**。`BaseToolbar` 从 `ActionButtonDesc` 的 `permission` 字段读取权限码，在渲染时内部做拦截，标准结构如下：
 
-通常由项目基座（`@jhlc/common-core` 或登录 store）注册全局指令。检查方式：
-```bash
-grep -r "v-permission\|app.directive('permission'" src/
+```ts
+// data.ts
+{
+  name: 'edit',
+  label: '编辑',
+  permission: ['qmmcProcessCodeMain_update'],  // ← 就加这一行
+  onClick: (row: any) => modalRef.value?.edit(row.id)
+}
 ```
-如未找到，请联系架构组确认。
+
+`permission` 是数组，支持多权限码 OR 逻辑（有其中任意一个权限码即显示按钮）。
 
 ### Q3：权限码用短形式还是长形式？
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@agile-team/wl-skills-kit",
-  "version": "2.3.6",
+  "version": "2.3.7",
   "description": "AI Skill 模板包 — 一键导入 AI 指令 + 组件文档 + 通用组件 + 领域样例，覆盖 Copilot/Cursor/Windsurf/Kiro 等主流 AI 编辑器",
   "main": "./bin/wl-skills.js",
   "bin": {