Zimin A.N. 24aa94d130 feat(auth): Phase 1d — backend role enforcement для workflow
User explicitly requested 'Phase 1d пора'. До этого MR'а backend гейтил
только maker-checker (self_approve_forbidden), frontend hooks возвращали
auth.isAuthenticated.

Реализация:

Backend WorkflowRoles (ordinis-rest-api/auth/WorkflowRoles.java):
- Component reads realm_access.roles из JWT claim
- Constants: ordinis:approver (decide/approve/reject), ordinis:publisher (publish)
- requireRole(role) throws 403 forbidden_role если missing
- Defensive parse: malformed/missing realm_access → empty roles
- 9 unit tests cover authenticated + anonymous + malformed JWT

Applied gates:
- SchemaDraftService.decide() — require ordinis:approver
- SchemaDraftService.publish() — require ordinis:publisher
- DraftService.approve() — require ordinis:approver
- DraftService.reject() — require ordinis:approver

WorkflowRoles is Optional в test ctors → unit tests без auth setup
не ломаются. Все existing tests должны проходить (legacy ctor overloads
сохранены).

Frontend usePermissions.ts:
- Stub return auth.isAuthenticated заменён на real role decode из
  auth.user.profile.realm_access.roles
- ROLE_APPROVER + ROLE_PUBLISHER constants exported
- Defensive parsing — graceful с missing/malformed claims
- useCanCreateSchemaDraft остаётся permissive (любой auth — maker'ом
  может быть anyone, scope ACL заведует видимостью)

Naming convention — colon-separated (consistent с ordinis:client:*
scope ролями), aligned с MR !161.

MIGRATION (BREAKING без правильной Keycloak setup):
1. Keycloak realm 'nstart' → Realm Roles → Create:
   - ordinis:approver
   - ordinis:publisher
2. Users → assign roles:
   - reviewer/approver users → ordinis:approver
   - publisher users → ordinis:approver + ordinis:publisher
3. После refresh JWT (logout/login) роли появляются в realm_access.roles

Без этого все decide/publish операции вернут 403 forbidden_role.
2026-05-13 12:36:53 +03:00
2026-05-03 23:06:24 +03:00

Ordinis

MDM сервис для НСИ ЦУОД ОДХ (Оперативное и Долговременное Хранение). Часть линейки Terravault. Ордо/порядок (от лат. ordo) — упорядоченные классификаторы и справочные данные.

ЦУОД — anchor-клиент v1, второй клиент = свой config bundle, без code change.

Maven multimodule

ordinis/
├── ordinis-domain              JPA entities, JSONB types, bitemporal model
├── ordinis-validation          JSON Schema validator (networknt)
├── ordinis-events-api          DTO для Kafka (semver shared module)
├── ordinis-outbox              Outbox pattern + @Scheduled poller
├── ordinis-rest-api            Admin write API (CRUD, bundle import)
├── ordinis-app                 Spring Boot main: writer side
├── ordinis-read-api            Read service (PG replica + scope filtering)
├── ordinis-projection-writer   Опц.: Kafka → Redis projection (feature-flagged)
├── ordinis-cuod-bundle         ЦУОД config: JSON Schema, seed, Grafana dashboards
└── ordinis-migrations          Liquibase changelogs → Helm pre-upgrade Job (1-shot)

Стек

  • Java 21, Spring Boot 3.4
  • PostgreSQL 18 + PostGIS 3.6 + btree_gist (EXCLUSION CONSTRAINT)
  • Apache Kafka 4.2 (KRaft, SASL SCRAM-SHA-512)
  • Hibernate Envers (tx-time) + valid_from/valid_to (effective-time) — bitemporal
  • Liquibase
  • Spring Cloud Config + Spring Cloud Vault (Kubernetes auth)
  • Micrometer + Prometheus
  • LogstashEncoder JSON stdout → Loki через Alloy
  • OpenTelemetry → Tempo (OTLP gRPC)

Архитектурные принципы

  • Generic dictionary engine + ЦУОД config bundle (Approach B). Engine не знает про "КА"/"наземные станции" — узнаёт через JSON Schema из bundle
  • Bitemporal: Envers для tx-time + valid_from/valid_to для effective-time + EXCLUSION CONSTRAINT
  • 3 scope-топика Kafka (public/internal/restricted) — изоляция через ACL, не через filter в consumer
  • System boundary: 3 deployable делят БД (master+replica). Внешние consumers — только REST/Kafka, никогда прямо в БД
  • Tiered performance: 1k RPS из коробки (PG replica + Caffeine). 10k+ RPS включается per-dictionary через Redis projection
  • Audit log в БД (compliance), технические логи в Loki

Build

mvn clean install        # все модули
mvn -pl ordinis-app -am package -DskipTests  # только app + transitive
docker build -f ordinis-app/Dockerfile -t ordinis-app:0.1.0 .
docker build -f ordinis-migrations/Dockerfile -t ordinis-migrations:0.1.0 ordinis-migrations/

Связанные репо

S
Description
No description provided
Readme 3.2 MiB
Languages
TypeScript 49.7%
Java 43.7%
HTML 5.5%
CSS 0.7%
Dockerfile 0.3%