24aa94d13007b7d2d9716a6afb7fdbc54a32d8ba
User explicitly requested 'Phase 1d пора'. До этого MR'а backend гейтил только maker-checker (self_approve_forbidden), frontend hooks возвращали auth.isAuthenticated. Реализация: Backend WorkflowRoles (ordinis-rest-api/auth/WorkflowRoles.java): - Component reads realm_access.roles из JWT claim - Constants: ordinis:approver (decide/approve/reject), ordinis:publisher (publish) - requireRole(role) throws 403 forbidden_role если missing - Defensive parse: malformed/missing realm_access → empty roles - 9 unit tests cover authenticated + anonymous + malformed JWT Applied gates: - SchemaDraftService.decide() — require ordinis:approver - SchemaDraftService.publish() — require ordinis:publisher - DraftService.approve() — require ordinis:approver - DraftService.reject() — require ordinis:approver WorkflowRoles is Optional в test ctors → unit tests без auth setup не ломаются. Все existing tests должны проходить (legacy ctor overloads сохранены). Frontend usePermissions.ts: - Stub return auth.isAuthenticated заменён на real role decode из auth.user.profile.realm_access.roles - ROLE_APPROVER + ROLE_PUBLISHER constants exported - Defensive parsing — graceful с missing/malformed claims - useCanCreateSchemaDraft остаётся permissive (любой auth — maker'ом может быть anyone, scope ACL заведует видимостью) Naming convention — colon-separated (consistent с ordinis:client:* scope ролями), aligned с MR !161. MIGRATION (BREAKING без правильной Keycloak setup): 1. Keycloak realm 'nstart' → Realm Roles → Create: - ordinis:approver - ordinis:publisher 2. Users → assign roles: - reviewer/approver users → ordinis:approver - publisher users → ordinis:approver + ordinis:publisher 3. После refresh JWT (logout/login) роли появляются в realm_access.roles Без этого все decide/publish операции вернут 403 forbidden_role.
Ordinis
MDM сервис для НСИ ЦУОД ОДХ (Оперативное и Долговременное Хранение). Часть линейки Terravault. Ордо/порядок (от лат. ordo) — упорядоченные классификаторы и справочные данные.
ЦУОД — anchor-клиент v1, второй клиент = свой config bundle, без code change.
Maven multimodule
ordinis/
├── ordinis-domain JPA entities, JSONB types, bitemporal model
├── ordinis-validation JSON Schema validator (networknt)
├── ordinis-events-api DTO для Kafka (semver shared module)
├── ordinis-outbox Outbox pattern + @Scheduled poller
├── ordinis-rest-api Admin write API (CRUD, bundle import)
├── ordinis-app Spring Boot main: writer side
├── ordinis-read-api Read service (PG replica + scope filtering)
├── ordinis-projection-writer Опц.: Kafka → Redis projection (feature-flagged)
├── ordinis-cuod-bundle ЦУОД config: JSON Schema, seed, Grafana dashboards
└── ordinis-migrations Liquibase changelogs → Helm pre-upgrade Job (1-shot)
Стек
- Java 21, Spring Boot 3.4
- PostgreSQL 18 + PostGIS 3.6 + btree_gist (EXCLUSION CONSTRAINT)
- Apache Kafka 4.2 (KRaft, SASL SCRAM-SHA-512)
- Hibernate Envers (tx-time) + valid_from/valid_to (effective-time) — bitemporal
- Liquibase
- Spring Cloud Config + Spring Cloud Vault (Kubernetes auth)
- Micrometer + Prometheus
- LogstashEncoder JSON stdout → Loki через Alloy
- OpenTelemetry → Tempo (OTLP gRPC)
Архитектурные принципы
- Generic dictionary engine + ЦУОД config bundle (Approach B). Engine не знает про "КА"/"наземные станции" — узнаёт через JSON Schema из bundle
- Bitemporal: Envers для tx-time + valid_from/valid_to для effective-time + EXCLUSION CONSTRAINT
- 3 scope-топика Kafka (
public/internal/restricted) — изоляция через ACL, не через filter в consumer - System boundary: 3 deployable делят БД (master+replica). Внешние consumers — только REST/Kafka, никогда прямо в БД
- Tiered performance: 1k RPS из коробки (PG replica + Caffeine). 10k+ RPS включается per-dictionary через Redis projection
- Audit log в БД (compliance), технические логи в Loki
Build
mvn clean install # все модули
mvn -pl ordinis-app -am package -DskipTests # только app + transitive
docker build -f ordinis-app/Dockerfile -t ordinis-app:0.1.0 .
docker build -f ordinis-migrations/Dockerfile -t ordinis-migrations:0.1.0 ordinis-migrations/
Связанные репо
- terravault/ordinis-infra — k8s манифесты, helm values
- terravault/ordinis-config — Spring Cloud Config (feature flags, business params)
Description
Languages
TypeScript
49.7%
Java
43.7%
HTML
5.5%
CSS
0.7%
Dockerfile
0.3%