feat: 添加用户权限洞察查询与示例

Document/11_SystemTodo.md

@@ -28,6 +28,13 @@
 
 ## 4. 安全与合规
 - [ ] RBAC 权限、租户隔离、用户/权限洞察 API 完整演示并在 Swagger 中提供示例。
+  - [ ] 现状梳理：租户解析/过滤已具备（TenantResolutionMiddleware、TenantAwareDbContext），JWT 已写入 roles/permissions/tenant_id（JwtTokenService），PermissionAuthorize 已在 Admin API 使用，CurrentUserProfile 含角色/权限/租户；但仅有内嵌 string[] 权限存储，无角色/权限表与洞察查询，Swagger 缺少示例与多租户示例。
+  - [ ] 差距与步骤：
+    - [ ] 增加权限/租户洞察查询（按用户、按租户分页）并确保带 tenant 过滤（TenantAwareDbContext 或 Dapper 参数化）。
+    - [ ] 输出可读的角色/权限列表（基于现有种子/配置的只读查询）。
+    - [ ] 为洞察接口和 /auth/profile 增加 Swagger 示例，包含 tenant_id、roles、permissions，展示 Bearer 示例与租户 Header 示例。
+    - [ ] 若用 Dapper 读侧，SQL 必须参数化并显式过滤 tenant_id。
+    - [ ] 计划顺序：Step A 设计应用层洞察 DTO/Query；Step B Admin API 只读端点（Authorize/PermissionAuthorize）；Step C Swagger 示例扩展；Step D 校验租户过滤与忽略路径配置。
 - [ ] 登录/刷新流程增加 IP 校验、租户隔离、验证码/频率限制。
 - [ ] 登录/权限/敏感操作日志可追溯，提供查询接口或 Kibana Saved Search。
 - [ ] Secret Store/KeyVault/KMS 管理敏感配置，禁止密钥写入 Git/数据库明文。