TakeoutSaaS.Docs/Document/15_API边界与自检清单.md

API 边界与自检清单

目的：明确 Admin/User/Mini 三个 API 的职责边界，避免跨端耦合。开发新接口或改动现有控制器时请对照自检，确保租户、安全、DTO、路由符合约定。

说明：仓库已拆分为 TakeoutSaaS.AdminApi（管理后台）与 TakeoutSaaS.TenantApi（UserApi/MiniApi）。本文档只对边界与自检项作约束，控制器清单仅对 AdminApi 维护，其余端以各自仓库代码为准。

1. AdminApi（管理后台）

• 归属仓库：TakeoutSaaS.AdminApi
• 面向对象：平台运营、客服、内部管理。
• 职责：商户/门店/商品/订单/支付/配送/字典/权限/RBAC/审计/系统参数等后台管理与洞察。
• 鉴权：JWT + RBAC（[Authorize] + PermissionAuthorize）；不强制租户头，AdminApi 默认不做租户隔离（内部工具允许跨租户查询）。如需限定租户，请在路由/参数中显式指定 tenantId 并在应用层校验。
• 路由前缀：api/admin/v{version}/...。
• DTO/约束：仅管理字段，禁止返回 C 端敏感信息；long -> string；严禁实体直接返回。
• 现有控制器（以仓库代码为准）：AuthController、CacheMetricsController、DeliveriesController、DictionaryController、DictionaryGroupsController、DictionaryItemsController、DictionaryLabelOverridesController、FilesController、HealthController、InventoryController、MenusController、MerchantCategoriesController、MerchantsController、OrdersController、PaymentsController、PermissionsController、ProductsController、RoleTemplatesController、StoreAuditsController、StorePickupController、StoreQualificationsController、StoreShiftsController、StoreStaffsController、StoreTableAreasController、StoreTablesController、StoresController、SystemParametersController、UsersController。
• 自检清单：
  1. 是否需要权限校验？未加则补 [Authorize] + PermissionAuthorize（内部只读工具也至少需要 [Authorize]，避免误暴露）。
  2. 是否调用了应用层 CQRS，而非在 Controller 写业务？
  3. DTO 是否按管理口径，未暴露用户端字段？
  4. 是否使用参数化/AsNoTracking/投影，避免 N+1？
  5. 路由和 Swagger 示例是否明确权限含义（AdminApi 不要求租户头）？
• 自检记录：已移除租户侧控制器（如 TenantsController、TenantPackagesController、TenantBillingsController 等）。UsersController 仅管理平台管理员账号（Portal=Admin 且 TenantId=null），不做租户侧兼容/兜底。

2. UserApi（C 端用户）

• 归属仓库：TakeoutSaaS.TenantApi
• 面向对象：App/H5 普通用户。
• 职责：菜单浏览、下单、支付、评价、地址、售后、订单查询、支付/配送回调（验证签名）等用户闭环。
• 鉴权：用户 JWT，租户隔离；幂等接口需校验。
• 路由前缀：api/user/v{version}/...。
• DTO/约束：仅用户侧可见字段，屏蔽后台配置字段；long -> string。
• 现有控制器：以 TakeoutSaaS.TenantApi 仓库为准（此处不维护清单，避免与代码偏差）。
• 自检清单：
  1. 是否暴露给用户的纯前台功能？后台配置请放 AdminApi。
  2. 是否做租户隔离、用户鉴权、签名/幂等校验？
  3. 响应是否脱敏且只含用户需要的字段？
  4. 是否避免跨端复用后台 DTO/命令？
  5. 回调路由是否验证签名/防重放？

3. MiniApi（小程序端）

• 归属仓库：TakeoutSaaS.TenantApi
• 面向对象：微信/小程序前端。
• 职责：小程序登录/刷新、当前用户档案、订阅消息、直传凭证、小程序场景特定的下单/浏览等。
• 鉴权：小程序登录态/Token，租户隔离；必要时区分渠道。
• 路由前缀：api/mini/v{version}/...。
• DTO/约束：遵循小程序接口规范，错误码与前端对齐；long -> string。
• 现有控制器：以 TakeoutSaaS.TenantApi 仓库为准（此处不维护清单，避免与代码偏差）。
• 自检清单：
  1. 是否为小程序特有流程（code2session、订阅消息、直传等）？通用用户接口放 UserApi。
  2. 是否完成租户/鉴权校验，区分渠道标识？
  3. 请求/响应是否符合小程序对错误码与字段的约定？
  4. 是否避免使用后台管理 DTO/权限模型？
  5. 上传/直传接口是否限制 MIME/大小并做鉴权？

4. 共通约束

• 分层：Controller 仅做路由/DTO 转换，业务放 Application 层 Handler。
• 租户：TenantApi 必须强制租户隔离；AdminApi 作为内部平台工具默认允许跨租户查询，但必须受 RBAC 与审计约束。
• 日志/观测：TraceId/SpanId 已贯通；/metrics、/healthz 按服务暴露。
• 命名：输入 XxxRequest、输出 XxxDto；文件名与类名一致；布尔属性加 Is/Has。
• 发布前检查：运行 dotnet build，必要时补 Swagger 示例、单元测试（核心逻辑 100% 覆盖，服务 ≥70%）。