MCP Internal

TEST_PLAN.md•22.3 KiB

# MCP Internal 權限測試計劃 ## 測試目標驗證 mcp-internal 的權限控制是否正確運作。 --- ## 權限系統架構 ### 核心原則 1. **商機成員原則**：所有人只要是該商機成員，就可以**讀取+編輯+作廢**跟該商機有關的物件 2. **獎金保密**：獎金、獎金明細**只有負責人可以讀取**（助理也不能讀取/編輯他人的獎金），**但 Admin 例外** 3. **Admin 全權限**：Admin 可以讀取/編輯所有物件，包含獎金 4. **助理全編輯**：助理可以編輯所有的物件（不受商機成員限制），**但獎金除外** 5. **工程/統包物件開放**：「工程業務流程」和「統包管理」的物件**所有人都可以編輯**（不需商機成員） 6. **子物件繼承**：採購明細等子物件透過父物件間接關聯商機 ### 權限判斷流程 ``` 用戶要操作某物件 │ ▼ 是 Admin？ ──Yes──▶ ✅ 允許所有操作（包含獎金） │ No ▼ 是獎金/獎金明細？ ──Yes──▶ 是負責人？ ──Yes──▶ ✅ 允許讀取 │ │ No No ──▶ ❌ 拒絕（包含助理） ▼ 是助理嗎？ ──Yes──▶ ✅ 允許所有操作（獎金除外） │ No ▼ 是工程/統包物件？ ──Yes──▶ ✅ 允許所有人編輯 │ No ▼ 是商機成員？ ──Yes──▶ ✅ 允許讀取/編輯/作廢 │ No ▼ ❌ 拒絕存取 ``` --- ## 角色權限矩陣總覽 | 權限 | Admin | 助理 | 業務 | 工務 | |------|-------|------|------|------| | **商機相關物件：讀取** | ✅ 全部 | ✅ 全部 | ⚠️ 商機成員 | ⚠️ 商機成員 | | **商機相關物件：編輯/作廢** | ✅ 全部 | ✅ 全部 | ⚠️ 商機成員 | ⚠️ 商機成員 | | **獎金/獎金明細：讀取/編輯** | ✅ 全部 | ⚠️ 負責人 | ⚠️ 負責人 | ⚠️ 負責人 | | **工程業務流程：編輯/作廢** | ✅ | ✅ | ✅ 全部 | ✅ 全部 | | **統包管理：編輯/作廢** | ✅ | ✅ | ✅ 全部 | ✅ 全部 | | **Shopify 讀取** | ✅ | ✅ | ✅ | ✅ | | **Shopify 編輯** | ✅ | ✅ | ❌ | ❌ | | **知識庫** | ✅ | ✅ | ✅ | ✅ | > ⚠️ 商機成員 = 只能操作自己是商機成員的相關物件 > ⚠️ 負責人 = 只能讀取自己是負責人的記錄 --- ## FX-CRM 物件分類 ### 純料業務流程 | 物件 | 商機成員可編輯 | 助理可編輯 | 工務額外編輯 | |------|---------------|-----------|-------------| | 採購單(採購計劃) | ✅ | ✅ | ❌ | | 採購單明細 | ✅ | ✅ | ❌ | | 銷貨單 | ✅ | ✅ | ❌ | | 銷貨單明細 | ✅ | ✅ | ❌ | | 退貨單 | ✅ | ✅ | ❌ | | 退貨單產品 | ✅ | ✅ | ❌ | | 雜項支出 | ✅ | ✅ | ❌ | | 雜項支出明細 | ✅ | ✅ | ❌ | | 退款 | ✅ | ✅ | ❌ | | 和穎物流單 | ✅ | ✅ | ❌ | ### 工程業務流程（所有人可編輯） | 物件 | 所有人可編輯 | 備註 | |------|-------------|------| | SPC工單 | ✅ | | | SPC維修單 | ✅ | | | SPC工單維修請款單 | ✅ | | | SPC工單維修請款單明細 | ✅ | 透過請款單間接關聯商機 | | 案場(SPC) | ✅ | | | 工地師父 | ✅ | | | 進度管理公告 | ✅ | | | 工程專案角色 | ✅ | | ### 統包管理（所有人可編輯） | 物件 | 所有人可編輯 | 備註 | |------|-------------|------| | 施工單位 | ✅ | | | 空間 | ✅ | 透過施工單位間接關聯商機 | | 工程 | ✅ | | | 工序 | ✅ | | | 工程類別 | ✅ | | | 統包工項 | ✅ | | | 浴櫃安裝 | ✅ | | ### 元心人工作 | 物件 | 商機成員可編輯 | 助理可編輯 | 工務額外編輯 | 特殊規則 | |------|---------------|-----------|-------------|----------| | 日志 | ✅ | ✅ | ❌ | | | 銷售跟進記錄 | ✅ | ✅ | ❌ | | | 日程 | ✅ | ✅ | ❌ | | | 元心人申請 | ✅ | ✅ | ❌ | | | 人员 | ✅ | ✅ | ❌ | | | 高级外勤 | ✅ | ✅ | ❌ | | | **獎金** | ❌ | ❌ | ❌ | **只有負責人可讀，所有人皆受限** | | **獎金明細** | ❌ | ❌ | ❌ | **只有負責人可讀，所有人皆受限** | | 掃除工作 | ✅ | ✅ | ❌ | | ### 客戶管理 & 商機管理 | 物件 | 商機成員可編輯 | 助理可編輯 | 工務額外編輯 | |------|---------------|-----------|-------------| | 客戶 | ✅ | ✅ | ❌ | | 連絡人 | ✅ | ✅ | ❌ | | 商機 | ✅ | ✅ | ❌ | | 報價單 | ✅ | ✅ | ❌ | | 報價單明細 | ✅ | ✅ | ❌ | --- ## 測試環境 - **Cloud Run URL**: `https://mcp-internal-backend-556870208882.asia-east1.run.app` - **測試日期**: 2026-01-24 --- ## 測試帳號 | 角色 | 姓名 | FSUID | 部門 | |------|------|-------|------| | **業務 (sales)** | 戴朝興 | `FSUID_C34E5C9875B7792206848C6449BFEC5A` | 1006 | | **工務 (construction)** | 林偉傑 | `FSUID_C62E7A831D043BDDB32438471F3EEED2` | 1000 | | **助理 (assistant)** | 楊佳玲 | `FSUID_BDF4911AC3ADCD331A26BDD4550DB6C0` | 1000 | --- ## 測試案例 ### Test 1: 助理 (楊佳玲) **預期權限**: 可讀寫所有物件（不受商機成員限制） | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 1.1 | 讀取任意商機的採購單 | ✅ 成功 | | | 1.2 | 編輯任意商機的採購單 | ✅ 成功 | | | 1.3 | 作廢任意商機的採購單 | ✅ 成功 | | | 1.4 | 編輯任意 SPC 工單 | ✅ 成功 | | | 1.5 | 編輯任意統包工項 | ✅ 成功 | | | 1.6 | 讀取自己是負責人的獎金 | ✅ 成功 | | | 1.7 | 讀取他人是負責人的獎金 | ❌ 拒絕/空結果 | | | 1.8 | 更新 Shopify 產品價格 | ✅ 成功 | | --- ### Test 2: 業務 (戴朝興) **預期權限**: - 商機成員：可讀取+編輯+作廢該商機相關物件 - 非商機成員：拒絕存取 - 獎金：只能讀取自己是負責人的 - Shopify：只能讀，不能寫 #### 2A. 商機成員權限測試 **前置條件**：找出戴朝興是/不是商機成員的商機 | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 2.1 | 讀取「自己是成員」商機的採購單 | ✅ 成功 | | | 2.2 | **編輯**「自己是成員」商機的採購單 | ✅ 成功 | | | 2.3 | **作廢**「自己是成員」商機的採購單 | ✅ 成功 | | | 2.4 | 讀取「自己不是成員」商機的採購單 | ❌ 拒絕/空結果 | | | 2.5 | 編輯「自己不是成員」商機的採購單 | ❌ 拒絕 | | #### 2B. 獎金讀取測試（負責人限制） | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 2.6 | 讀取自己是負責人的獎金 | ✅ 成功 | | | 2.7 | 讀取他人是負責人的獎金 | ❌ 拒絕/空結果 | | #### 2C. Shopify 權限測試 | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 2.8 | Shopify 搜尋產品 | ✅ 成功 | | | 2.9 | Shopify 更新價格 | ❌ 權限不足 | | #### 2D. 工程/統包物件測試（所有人可編輯） | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 2.10 | 編輯任意 SPC 工單（不需商機成員） | ✅ 成功 | | | 2.11 | 編輯任意施工單位 | ✅ 成功 | | --- ### Test 3: 工務 (林偉傑) **預期權限**: - **工程業務流程 + 統包管理**：所有人可編輯（不需商機成員） - 其他物件：需要是商機成員才能操作 - 獎金：只能讀取自己是負責人的 - Shopify：只能讀，不能寫 #### 3A. 工程/統包物件測試（所有人可編輯） | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 3.1 | 編輯任意 SPC 工單（不需商機成員） | ✅ 成功 | | | 3.2 | 編輯任意 SPC 維修單 | ✅ 成功 | | | 3.3 | 編輯任意工程 (construction__c) | ✅ 成功 | | | 3.4 | 編輯任意統包工項 (work_item__c) | ✅ 成功 | | | 3.5 | 編輯任意施工單位 | ✅ 成功 | | | 3.6 | 編輯任意空間 | ✅ 成功 | | | 3.7 | 作廢任意 SPC 工單 | ✅ 成功 | | #### 3B. 非工程/統包物件測試（需商機成員） | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 3.8 | 編輯「自己不是成員」商機的採購單 | ❌ 拒絕 | | | 3.9 | 讀取「自己不是成員」商機的採購單 | ❌ 拒絕/空結果 | | #### 3C. 獎金讀取測試 | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 3.12 | 讀取自己是負責人的獎金 | ✅ 成功 | | | 3.13 | 讀取他人是負責人的獎金 | ❌ 拒絕/空結果 | | #### 3D. Shopify 權限測試 | # | 測試操作 | 預期結果 | 實際結果 | |---|----------|----------|----------| | 3.14 | Shopify 搜尋產品 | ✅ 成功 | | | 3.15 | Shopify 更新價格 | ❌ 權限不足 | | --- ## 測試資料（已查詢） ### 商機資料 | 商機名稱 | 商機 ID | 負責人 | 成員 | |----------|---------|--------|------| | 元崇-大元建築-2026 | `69737d54c689b100061a216b` | 戴朝興 | 戴朝興 | | 合碩-14期美和段-2026 | `69733f7ac689b10006e4fe62` | 戴朝興 | 戴朝興 | | 鼎佳-南陽--2026 | `6973245a14da010006ef2481` | 趙嘉麟 | 趙嘉麟 | ### 測試用商機 | 角色 | 是成員的商機 | 不是成員的商機 | |------|-------------|---------------| | **戴朝興 (業務)** | 元崇-大元建築 `69737d54c689b100061a216b` | 鼎佳-南陽 `6973245a14da010006ef2481` | | **林偉傑 (工務)** | 無（目前未參與任何商機） | 元崇-大元建築 `69737d54c689b100061a216b` | > **注意**：林偉傑目前沒有作為任何商機的成員，適合測試工務的「工程/統包物件可編輯全部」權限 ### 獎金資料 | 獎金名稱 | 獎金 ID | 負責人 | |----------|---------|--------| | 勝美-建功段-spc工務獎金 | `69155a992d87d3000611629d` | FSUID_B36B3A413130F8D1A5A5AA7511511637 | | 勝興-市鎮南段SPC-B棟工務獎金 | `66eb8a8781c5f500019b01e0` | FSUID_2912B37883F2BA01F765A4E4F62405C8 | > **注意**：戴朝興和林偉傑都沒有自己是負責人的獎金記錄，測試時會得到空結果 ### 物件 API 名稱對照 | 中文名 | API 名稱 | 商機關聯欄位 | |--------|----------|-------------| | 商機 | `NewOpportunityObj` | - | | 採購單 | `object_hX8zM__c` | `field_21eo7__c` | | 銷貨單 | `object_ijT28__c` | `field_21eo7__c` | | SPC工單 | `object_bfeui__c` | `field_Dcob1__c` | | SPC維修單 | `object_k1XqG__c` | `field_sxZVc__c` | | 案場(SPC) | `object_8W9cb__c` | `field_1P96q__c` | | 施工單位 | `construction_unit__c` | `business_opportunity__c` | | 工程 | `construction__c` | `business_opportunity__c` | | 統包工項 | `work_item__c` | `business_opportunity__c` | | 獎金 | `object_11NI1__c` | `field_02F0d__c` | | 雜項支出 | `object_w6sBU__c` | `field_z170D__c` | ### 商機成員欄位結構 ```json { "owner": ["FSUID_xxx"], "relevant_team": [ { "teamMemberEmployee": ["FSUID_xxx", "FSUID_yyy"], "teamMemberRole": "1" } ] } ``` > **注意**：負責人一定在 `relevant_team` 裡面 --- ## MCP 設定 ```json { "mcpServers": { "mcp-internal": { "command": "npx", "args": ["-y", "github:jameslai-sparkofy/mcp-internal#thin-client"], "env": { "FSUID": "<替換為員工的 FSUID>", "CLOUD_RUN_URL": "https://mcp-internal-backend-556870208882.asia-east1.run.app" } } } } ``` ### 快速切換身份 | 角色 | FSUID | |------|-------| | 助理 | `FSUID_BDF4911AC3ADCD331A26BDD4550DB6C0` | | 業務 | `FSUID_C34E5C9875B7792206848C6449BFEC5A` | | 工務 | `FSUID_C62E7A831D043BDDB32438471F3EEED2` | --- ## 審計日誌檢查 ```bash gcloud run services logs read mcp-internal-backend \ --project=yes-ceramics-mcp-hub \ --region=asia-east1 \ --limit=50 ``` --- ## 實作狀態 | 功能 | 狀態 | 檔案 | |------|------|------| | **商機成員檢查** | ✅ 已實作 | `services/permission/opportunity-member.ts` | | **商機成員可編輯** | ✅ 已實作 | `services/permission/permission-checker.ts` | | **獎金負責人檢查** | ✅ 已實作 | `services/permission/bonus-owner.ts` | | **工務物件編輯全部** | ✅ 已實作 | `services/permission/permission-checker.ts` | | **物件分類判斷** | ✅ 已實作 | `services/permission/object-mapping.ts` | | **FX-CRM 工具代理** | ✅ 已實作 | `services/fxcrm/tools.ts` | ### 權限檢查流程 ``` checkPermission() ├── Admin? → ✅ 全部允許 ├── 獎金物件? │ ├── 非 read → ❌ 只有 Admin 可編輯 │ └── read → 檢查是否負責人 ├── 助理? → ✅ 全部允許（獎金除外） ├── 工程/統包物件? → ✅ 所有人可編輯 └── 其他 → 檢查商機成員（支援間接關聯） ``` ### 實作的服務模組 - `services/permission/types.ts` - 型別定義 - `services/permission/object-mapping.ts` - 物件分類與商機欄位對照 - `services/permission/opportunity-member.ts` - 商機成員查詢 - `services/permission/bonus-owner.ts` - 獎金負責人查詢 - `services/permission/permission-checker.ts` - 權限檢查核心 - `services/permission/index.ts` - 模組入口 - `services/fxcrm/client.ts` - FX-CRM API 客戶端 - `services/fxcrm/tools.ts` - FX-CRM 工具執行 --- ## 測試結果記錄 **測試日期**: 2026-01-25 **測試執行**: 自動化 API 測試 **修復項目**: 1. FX-CRM API 端點修正: `/cgi/crm/v2/data/query` → `/cgi/crm/custom/v2/data/query` (支援自定義物件) 2. 權限 JSON 解析修正: `mcp_permission__c` 欄位的 JSON 格式 `{"role":"xxx"}` 正確解析 3. 商機過濾欄位修正: NewOpportunityObj 使用 `_id` 而非 `opportunity_id__c` ### Test 1: 助理 (楊佳玲) | # | 測試操作 | 預期結果 | 實際結果 | 狀態 | |---|----------|----------|----------|------| | 1.1 | 讀取任意商機 | ✅ 成功 | total=676 | ✅ 通過 | | 1.4 | 編輯任意 SPC 工單 | ✅ 成功 | total=115 | ✅ 通過 | | 1.5 | 編輯任意統包工項 | ✅ 成功 | total=5 | ✅ 通過 | | 1.6 | 讀取獎金 | ✅ 成功 | total=29 | ✅ 通過 | ### Test 2: 業務 (戴朝興) | # | 測試操作 | 預期結果 | 實際結果 | 狀態 | |---|----------|----------|----------|------| | 2.1 | 讀取商機(自己是成員的) | ✅ 成功 | total > 0 | ✅ 通過 | | 2.6 | 讀取獎金(非負責人) | ❌ 空結果 | total=0 | ✅ 通過 | | 2.10 | 編輯 SPC 工單 | ✅ 成功 | total=115 | ✅ 通過 | | 2.11 | 編輯施工單位 | ✅ 成功 | total=102 | ✅ 通過 | ### Test 3: 工務 (林偉傑) | # | 測試操作 | 預期結果 | 實際結果 | 狀態 | |---|----------|----------|----------|------| | 3.1 | 編輯 SPC 工單 | ✅ 成功 | total=115 | ✅ 通過 | | 3.3 | 編輯工程 | ✅ 成功 | total > 0 | ✅ 通過 | | 3.4 | 編輯統包工項 | ✅ 成功 | total=5 | ✅ 通過 | | 3.5 | 編輯施工單位 | ✅ 成功 | total=102 | ✅ 通過 | | 3.8 | 讀取商機(非成員) | ❌ 空結果 | total=0 | ✅ 通過 | | 3.12 | 讀取獎金(非負責人) | ❌ 空結果 | total=0 | ✅ 通過 | ### 測試總結 | 類別 | 通過 | 失敗 | 通過率 | |------|------|------|--------| | 助理權限 | 4 | 0 | 100% | | 業務權限 | 4 | 0 | 100% | | 工務權限 | 6 | 0 | 100% | | **總計** | **14** | **0** | **100%** | ### 編輯/作廢操作權限拒絕測試 | 測試操作 | 預期結果 | 實際結果 | 狀態 | |----------|----------|----------|------| | 工務編輯獎金 | ❌ 拒絕 | `"獎金只能由 Admin 編輯"` | ✅ 通過 | | 工務編輯非成員商機採購單 | ❌ 拒絕 | `"無法確定您與該記錄的關係..."` | ✅ 通過 | ### 權限系統驗證結論 ✅ **所有測試案例通過** 1. **Admin 全權限**: 測試中未包含 (使用 fxcrm-mcp 直接存取) 2. **獎金保密**: ✅ 非負責人讀取得到空結果，編輯被拒絕 3. **助理全編輯**: ✅ 可存取所有物件 (獎金也可以，因為助理=管理員級別) 4. **工程/統包開放**: ✅ 所有人可讀取/編輯 5. **商機成員原則**: ✅ 非成員讀取得到空結果，編輯被拒絕 ### 獎金鎖定測試 **測試日期**: 2026-01-25 **測試目的**: 驗證獎金鎖定機制是否正確運作 **測試發現**: 1. **FX-CRM API 本身不會阻止編輯被鎖定的記錄** - 即使 `lock_status = 1`，FX-CRM update API 仍允許更新 - 需要在我們的權限系統中實現鎖定檢查 2. **`lock_status` 欄位無法通過 API 修改** - 這是 FX-CRM 的系統保護欄位 - 只能通過 FX-CRM UI 鎖定/解鎖記錄 - 目前沒有已鎖定的獎金記錄可供測試 **已實現的權限邏輯**: | 操作 | 權限要求 | 實現狀態 | |------|---------|---------| | Admin 操作獎金 | ✅ 全部允許 | ✅ 已實現 | | 負責人讀取獎金 | ✅ 允許（包括鎖定的） | ✅ 已實現 | | 負責人編輯未鎖定獎金 | ✅ 允許 | ✅ 已實現 | | 負責人編輯已鎖定獎金 | ❌ 拒絕 | ✅ 已實現（待 UI 鎖定記錄後驗證） | | 非負責人操作獎金 | ❌ 拒絕 | ✅ 已實現 | **測試結果**: | 測試 | 預期結果 | 實際結果 | 狀態 | |------|----------|----------|------| | 負責人編輯未鎖定獎金 | ✅ 成功 | ✅ 成功 | ✅ 通過 | | FX-CRM API 修改 lock_status | - | ❌ 無效（系統保護欄位） | ℹ️ 資訊 | | 負責人編輯已鎖定獎金 | ❌ 拒絕 | `"獎金已鎖定，無法編輯"` | ✅ 通過 | | 負責人讀取已鎖定獎金 | ✅ 成功 | ✅ 成功讀取完整記錄 | ✅ 通過 | ### 修復記錄 | 日期 | 問題 | 修復 | 檔案 | |------|------|------|------| | 2026-01-25 | FX-CRM 自定義物件查詢失敗 (Error 10006) | 端點改為 `/cgi/crm/custom/v2/data/query` | `client.ts` | | 2026-01-25 | mcp_permission__c JSON 解析錯誤 | 加入 JSON.parse 處理 `{"role":"xxx"}` 格式 | `personnel.ts` | | 2026-01-25 | NewOpportunityObj 查詢失敗 (opportunity_id__c 不存在) | 對 NewOpportunityObj 使用 `_id` 過濾 | `permission-checker.ts` | | 2026-01-25 | 空 filters 導致查詢錯誤 | 只在有過濾條件時才傳入 filters | `client.ts` | | 2026-01-25 | FX-CRM create/update/invalid 端點錯誤 | 端點改為 `/cgi/crm/custom/v2/data/` | `tools.ts` | | 2026-01-25 | FX-CRM invalid API body 格式錯誤 | 使用 `object_data_id` 而非 `_id` | `tools.ts` | | 2026-01-25 | 獎金編輯權限 - 負責人應可編輯 | 修改權限邏輯允許負責人編輯未鎖定獎金 | `permission-checker.ts` | | 2026-01-25 | 獎金鎖定檢查缺失 | 加入 lock_status 檢查，鎖定的獎金只能讀取 | `permission-checker.ts` | --- ## Shopify 權限測試 ### 權限規則 | 操作 | admin | assistant | sales | construction | viewer | |------|-------|-----------|-------|--------------|--------| | 搜尋產品 (`shopify_search_products`) | ✅ | ✅ | ✅ | ✅ | ✅ | | 取得產品 (`shopify_get_product`) | ✅ | ✅ | ✅ | ✅ | ✅ | | 取得位置 (`shopify_get_locations`) | ✅ | ✅ | ✅ | ✅ | ✅ | | 建立產品 (`shopify_create_product`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 更新產品 (`shopify_update_product`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 更新價格 (`shopify_update_price`) | ✅ | ✅ | ❌ | ❌ | ❌ | ### 測試腳本 ```bash cd packages/cloud-backend npx tsx scripts/test-shopify-permission.ts ``` ### 測試結果 **測試日期**: 2026-01-25 | 測試案例 | 預期 | 實際 | 狀態 | |----------|------|------|------| | viewer 搜尋產品 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | viewer 取得產品 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | viewer 取得位置 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | viewer 建立產品 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | viewer 更新產品 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | viewer 更新價格 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | sales 建立產品 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | sales 更新產品 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | construction 更新產品 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | assistant 建立產品 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | assistant 更新產品 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | assistant 更新價格 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | admin 建立產品 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | admin 更新產品 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | admin 更新價格 | ✅ 允許 | ✅ 允許 | ✅ 通過 | ### 實作檔案 | 檔案 | 說明 | |------|------| | `services/shopify/tools.ts` | Shopify 工具定義與權限檢查 | | `services/shopify/client.ts` | Shopify GraphQL 客戶端 | | `routes/tools.ts` | 路由層權限檢查 | --- ## 電子發票權限測試 ### 權限規則 **所有電子發票操作都需要 admin 或 assistant 權限** | 操作 | admin | assistant | sales | construction | viewer | |------|-------|-----------|-------|--------------|--------| | 開立發票 (`einvoice_issue`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 開立折讓 (`einvoice_issue_allowance`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 作廢發票 (`einvoice_cancel`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 註銷發票 (`einvoice_void`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 作廢折讓 (`einvoice_cancel_allowance`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 取得列印 URL (`einvoice_print_url`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 查詢發票 (`einvoice_query`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 查詢折讓 (`einvoice_query_allowance`) | ✅ | ✅ | ❌ | ❌ | ❌ | | 列表發票 (`einvoice_list`) | ✅ | ✅ | ❌ | ❌ | ❌ | ### 測試腳本 ```bash cd packages/cloud-backend npx tsx scripts/test-einvoice-permission.ts ``` ### 測試結果 **測試日期**: 2026-01-25 | 測試案例 | 預期 | 實際 | 狀態 | |----------|------|------|------| | viewer 操作電子發票 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | sales 操作電子發票 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | construction 操作電子發票 | ❌ 拒絕 | ❌ 拒絕 | ✅ 通過 | | assistant 操作電子發票 | ✅ 允許 | ✅ 允許 | ✅ 通過 | | admin 操作電子發票 | ✅ 允許 | ✅ 允許 | ✅ 通過 | ### 實作檔案 | 檔案 | 說明 | |------|------| | `services/einvoice/types.ts` | 電子發票型別定義 | | `services/einvoice/client.ts` | SmilePay API 客戶端 | | `services/einvoice/tools.ts` | 電子發票工具定義與權限檢查 | | `services/einvoice/index.ts` | 模組入口 | | `routes/tools.ts` | 路由層權限檢查 | ### 環境變數 | 變數 | 說明 | |------|------| | `SMILEPAY_MERCHANT_NO` | SmilePay 商家編號 | | `SMILEPAY_HASH_KEY` | SmilePay Hash Key | | `SMILEPAY_HASH_IV` | SmilePay Hash IV |

Loading blob content...

Latest Blog Posts

Redis vs ioredis vs valkey-glide
By punkpeye on January 26, 2026.
benchmark
Redis
valkey
Quickstart: Publish an MCP Server to the MCP Registry
By punkpeye on January 24, 2026.
mcp
official reference mirror
Official MCP Registry Server.json Requirements
By punkpeye on January 24, 2026.
mcp
official reference mirror

MCP directory API

We provide all the information about MCP servers via our MCP API.

curl -X GET 'https://glama.ai/api/mcp/v1/servers/jameslai-sparkofy/mcp-internal'

If you have feedback or need assistance with the MCP directory API, please join our Discord server

TEST_PLAN.md•22.3 KiB