◆ RBAC 审计 · 2026-04-26 19:05

接口权限审计清单

本页从当前 API 路由生成，展示每个接口的公开/受保护口径、所需权限和风险等级。用于客户验收安全边界，也用于后续继续收紧生产权限。

rbac-audit.json rbac-audit.csv 后台权限矩阵

107接口总数

98已守卫

7公开 GET

2公开 POST

44高风险已守卫

1高风险开放

1中风险开放

0待评估写入口

一、审计规则

公开 POST 仅保留登录 /xia-api/auth/login 与客户反馈提交 /xia-api/feedback。
商品、定价、生产化检查、反馈队列、审计日志、财务、结算、提成、门店/供应商、订单、配送、履约、签收等业务读写接口均需后台 token。
公开 GET 保留健康检查、系统说明、权限矩阵、客户反馈状态查询等低风险入口。

二、接口清单

方法	公网路径	所需权限	暴露口径	风险
GET	`/xia-api/health`	无	公开/只读测试入口	低
GET	`/xia-api/system/modules`	无	公开/只读测试入口	低
GET	`/xia-api/system/dashboard`	无	公开/只读测试入口	低
GET	`/xia-api/auth`	无	公开/只读测试入口	低
POST	`/xia-api/auth/login`	无	公开登录入口	中
GET	`/xia-api/auth/me`	无	公开/只读测试入口	低
GET	`/xia-api/auth/audit-logs`	rbac:view	受 RBAC 守卫保护	低
GET	`/xia-api/auth/permission-matrix`	无	公开/只读测试入口	低
GET	`/xia-api/auth/access-check/finance`	finance:manage	受 RBAC 守卫保护	低
GET	`/xia-api/auth/access-check/production`	production:readiness	受 RBAC 守卫保护	低
GET	`/xia-api/production-readiness`	production:readiness	受 RBAC 守卫保护	低
POST	`/xia-api/production-readiness/:itemKey/status`	production:readiness	受 RBAC 守卫保护	高
GET	`/xia-api/feedback`	feedback:manage	受 RBAC 守卫保护	低
POST	`/xia-api/feedback`	无	客户公开提交入口	高
GET	`/xia-api/feedback/:feedbackNo`	无	公开/只读测试入口	低
POST	`/xia-api/feedback/:feedbackNo/status`	feedback:manage	受 RBAC 守卫保护	高
GET	`/xia-api/stores`	stores:manage	受 RBAC 守卫保护	低
GET	`/xia-api/stores/:storeId`	stores:manage	受 RBAC 守卫保护	低
POST	`/xia-api/stores/:storeId/audit`	stores:manage	受 RBAC 守卫保护	中
GET	`/xia-api/suppliers`	suppliers:manage	受 RBAC 守卫保护	低
GET	`/xia-api/suppliers/:supplierId`	suppliers:manage	受 RBAC 守卫保护	低
POST	`/xia-api/suppliers/:supplierId/approve`	suppliers:manage	受 RBAC 守卫保护	高
GET	`/xia-api/fulfillment-orders`	fulfillment:manage	受 RBAC 守卫保护	低
GET	`/xia-api/fulfillment-orders/:fulfillmentNo`	fulfillment:manage	受 RBAC 守卫保护	低
POST	`/xia-api/fulfillment-orders/:fulfillmentNo/accept`	fulfillment:manage	受 RBAC 守卫保护	中
POST	`/xia-api/fulfillment-orders/:fulfillmentNo/exception-report`	fulfillment:manage	受 RBAC 守卫保护	中
GET	`/xia-api/products`	products:release	受 RBAC 守卫保护	低
POST	`/xia-api/products/:productId/toggle-status`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/repricing-preview`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/repricing-version`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/repricing-publish`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-tracking`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-approve`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-revise`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-approval-flow`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-blockers`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-resolve-blockers`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-sync-job`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-sync-result`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-sync-exception`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-sync-retry`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/release-sync-failure-summary`	products:release	受 RBAC 守卫保护	高
POST	`/xia-api/products/:productId/withdraw-release`	products:release	受 RBAC 守卫保护	高
GET	`/xia-api/products/:productId`	products:release	受 RBAC 守卫保护	低
GET	`/xia-api/pricing`	pricing:manage	受 RBAC 守卫保护	低
GET	`/xia-api/pricing/rules/:ruleId`	pricing:manage	受 RBAC 守卫保护	低
POST	`/xia-api/pricing/rules/:ruleId/preview-impact`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/update-config`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/validate-config`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/publish-version`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/preview-linked-impact`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/batch-publish`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/compare-linked`	pricing:manage	受 RBAC 守卫保护	高
GET	`/xia-api/pricing/batches/:batchNo/audit`	pricing:manage	受 RBAC 守卫保护	低
GET	`/xia-api/pricing/batches/:batchNo/checklist`	pricing:manage	受 RBAC 守卫保护	低
GET	`/xia-api/pricing/batches/:batchNo/approval-flow`	pricing:manage	受 RBAC 守卫保护	低
GET	`/xia-api/pricing/batches/:batchNo/blockers`	pricing:manage	受 RBAC 守卫保护	低
POST	`/xia-api/pricing/batches/:batchNo/approval`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/batches/:batchNo/retry-release`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/batches/:batchNo/withdraw-release`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/rollback-version`	pricing:manage	受 RBAC 守卫保护	高
POST	`/xia-api/pricing/rules/:ruleId/toggle-status`	pricing:manage	受 RBAC 守卫保护	高
GET	`/xia-api/pricing/lobster-effective-price`	pricing:manage	受 RBAC 守卫保护	低
GET	`/xia-api/pricing/freight-rules/current`	pricing:manage	受 RBAC 守卫保护	低
POST	`/xia-api/pricing/order-preview`	orders:manage	受 RBAC 守卫保护	高
GET	`/xia-api/orders`	orders:manage	受 RBAC 守卫保护	低
GET	`/xia-api/orders/list`	orders:manage	受 RBAC 守卫保护	低
GET	`/xia-api/orders/:orderNo`	orders:manage	受 RBAC 守卫保护	低
POST	`/xia-api/orders/:orderNo/split-preview`	orders:manage	受 RBAC 守卫保护	中
POST	`/xia-api/orders/:orderNo/fulfillment-plan`	orders:manage	受 RBAC 守卫保护	中
POST	`/xia-api/orders/:orderNo/exception-summary`	orders:manage	受 RBAC 守卫保护	中
POST	`/xia-api/orders/preview`	orders:manage	受 RBAC 守卫保护	中
POST	`/xia-api/orders`	orders:manage	受 RBAC 守卫保护	中
GET	`/xia-api/delivery`	delivery:manage	受 RBAC 守卫保护	低
GET	`/xia-api/delivery/orders`	delivery:manage	受 RBAC 守卫保护	低
GET	`/xia-api/delivery/orders/:deliveryNo`	delivery:manage	受 RBAC 守卫保护	低
POST	`/xia-api/delivery/orders/:deliveryNo/handover`	delivery:manage	受 RBAC 守卫保护	中
POST	`/xia-api/delivery/orders/:deliveryNo/exception-report`	delivery:manage	受 RBAC 守卫保护	中
POST	`/xia-api/delivery/orders/:deliveryNo/sign-summary`	delivery:manage	受 RBAC 守卫保护	中
POST	`/xia-api/delivery/orders/:deliveryNo/route-plan`	delivery:manage	受 RBAC 守卫保护	中
POST	`/xia-api/delivery/orders`	delivery:manage	受 RBAC 守卫保护	中
GET	`/xia-api/signing`	signing:submit	受 RBAC 守卫保护	低
GET	`/xia-api/signing/pending`	signing:submit	受 RBAC 守卫保护	低
GET	`/xia-api/signing/:signNo`	signing:submit	受 RBAC 守卫保护	低
POST	`/xia-api/signing`	signing:submit	受 RBAC 守卫保护	中
GET	`/xia-api/finance`	finance:manage	受 RBAC 守卫保护	低
GET	`/xia-api/finance/store-wallet`	finance:manage	受 RBAC 守卫保护	低
GET	`/xia-api/finance/store-bills`	finance:manage	受 RBAC 守卫保护	低
GET	`/xia-api/finance/store-bills/:billNo`	finance:manage	受 RBAC 守卫保护	低
POST	`/xia-api/finance/store-bills/:billNo/remind`	finance:manage	受 RBAC 守卫保护	高
POST	`/xia-api/finance/store-bills/:billNo/collection-summary`	finance:manage	受 RBAC 守卫保护	高
GET	`/xia-api/finance/supplier-settlements`	finance:manage	受 RBAC 守卫保护	低
GET	`/xia-api/finance/supplier-settlements/:settlementNo`	finance:manage	受 RBAC 守卫保护	低
POST	`/xia-api/finance/supplier-settlements/:settlementNo/confirm`	finance:manage	受 RBAC 守卫保护	高
POST	`/xia-api/finance/supplier-settlements/:settlementNo/check`	finance:manage	受 RBAC 守卫保护	高
POST	`/xia-api/finance/supplier-settlements/:settlementNo/mark-paid`	finance:manage	受 RBAC 守卫保护	高
POST	`/xia-api/finance/supplier-settlements/:settlementNo/payout-summary`	finance:manage	受 RBAC 守卫保护	高
GET	`/xia-api/commissions`	finance:manage	受 RBAC 守卫保护	低
GET	`/xia-api/commissions/rules/active`	commission:config	受 RBAC 守卫保护	低
POST	`/xia-api/commissions/rules/active/update`	commission:config	受 RBAC 守卫保护	高
GET	`/xia-api/commissions/bindings`	commission:config	受 RBAC 守卫保护	低
POST	`/xia-api/commissions/bindings`	commission:config	受 RBAC 守卫保护	高
POST	`/xia-api/commissions/bindings/:bindingNo/update`	commission:config	受 RBAC 守卫保护	高
POST	`/xia-api/commissions/bindings/:bindingNo/delete`	commission:config	受 RBAC 守卫保护	高
GET	`/xia-api/commissions/statements`	finance:manage	受 RBAC 守卫保护	低
POST	`/xia-api/commissions/:commissionNo/review`	finance:manage	受 RBAC 守卫保护	高
POST	`/xia-api/commissions/:commissionNo/payout`	finance:manage	受 RBAC 守卫保护	高