Матрица прав

Принципы

Все права проверяются на backend.
Участник видит только свои туры, работы, результаты и документы.
Родитель видит ребёнка только через family/claim access.
Преподаватель работает в teacher mode с выбранной организацией и видит только разрешённые Learning Groups.
Административные и площадочные действия являются подслоями teacher mode, а не отдельными top-level контекстами организации/площадки.
Площадочный подслой видит только назначенных участников и материалы своего тура.
Результаты и работы скрыты до publication policy.
Изменения допуска, scores, results, publication и documents аудируются.

Permissions

Permission	Назначение
`competitions.events.read`	читать admin-мероприятия
`competitions.events.manage`	управлять мероприятиями
`competitions.seasons.read`	читать сезоны в admin
`competitions.seasons.manage`	управлять сезонами
`competitions.tours.read`	читать туры
`competitions.tours.manage`	управлять турами
`competitions.tracks.manage`	управлять зачётами
`competitions.registrations.read`	читать заявки
`competitions.registrations.manage`	модерировать заявки
`competitions.participants.read`	читать участников
`competitions.participants.manage`	редактировать участников
`competitions.groups.manage`	управлять группами
`competitions.group_helpers.manage`	выдавать урезанные права помощникам группы
`competitions.venues.manage`	управлять площадками
`competitions.venue.read`	читать кабинет площадки
`competitions.access_claims.manage`	рассматривать claim access
`competitions.content.manage`	управлять tour activity bindings and locked task structure
`competitions.submissions.read`	читать работы
`competitions.submissions.manage`	lock/void/admin actions
`competitions.check.read`	читать очередь проверки
`competitions.check.manage`	проверять работы
`competitions.results.read`	читать результаты
`competitions.results.manage`	рассчитывать и финализировать
`competitions.appeals.manage`	рассматривать апелляции результата
`competitions.arbitration.manage`	вести арбитраж подозрительных работ
`competitions.publications.manage`	публиковать результаты/материалы
`competitions.documents.manage`	генерировать документы
`competitions.external_teachers.manage`	подтверждать и отзывать внешних преподавателей
`competitions.external_teachers.manage.own`	вести собственный профиль внешнего преподавателя
`competitions.audit.read`	читать audit
`competitions.admin`	системные настройки

Actor contexts

Context	Что разрешает
`self`	участник читает свою запись
`family`	родитель читает детей семьи
`teacher_mode`	преподаватель действует в выбранной организации
`learning_group`	доступ к выбранной Learning Group через Learning Workspace
`teacher_admin_layer`	координатор/администратор выбранной организации видит registration scope
`teacher_venue_layer`	ответственный площадки выбранной организации видит назначенных участников
`helper_limited`	помощник видит только выданные ему действия
`checker`	проверяющий видит assigned submissions
`systematika_admin`	полный competitions admin scope
`public`	опубликованные данные

Endpoint matrix

Endpoint/action	Permission	Scope	Audit
`POST /seasons/{id}/pre-registrations`	authenticated	self/family/teacher_mode	yes
`PATCH /registrations/{id}/complete`	authenticated	self/family/teacher_mode	yes
`POST /seasons/{id}/registrations`	authenticated	self/family/teacher_mode	yes
`PATCH /admin/registrations/{id}/status`	`competitions.registrations.manage`	systematika_admin/teacher_admin_layer	yes
`POST /participants/{id}/claim-access`	authenticated	requester	yes
`PATCH /admin/access-claims/{id}/status`	`competitions.access_claims.manage`	systematika_admin	yes
`POST /teacher/competition-groups`	`competitions.groups.manage`	teacher_mode + learning_group	yes
`POST /teacher/competition-groups/{id}/helpers`	`competitions.group_helpers.manage`	teacher_mode	yes
`POST /external-teachers/profile`	`competitions.external_teachers.manage.own`	teacher_mode	yes
`POST /external-teachers/profile/verify`	`competitions.external_teachers.manage.own`	teacher_mode	yes
`POST /external-teachers/students`	`competitions.participants.manage.assigned`	teacher_mode	yes
`DELETE /external-teachers/students/{participantId}`	`competitions.participants.manage.assigned`	teacher_mode	yes
`PATCH /admin/external-teachers/{id}/status`	`competitions.external_teachers.manage`	systematika_admin	yes
`POST /venues/applications`	authenticated	teacher_venue_layer	yes
`PATCH /venues/{id}/capacity`	`competitions.venues.manage`	teacher_venue_layer/systematika_admin	yes
`POST /participants/{id}/venue-selection`	authenticated	self/family/teacher_mode/systematika_admin	yes
`POST /admin/tour-activity-bindings/{id}/lock`	`competitions.content.manage`	methodist/systematika_admin	yes
`POST /tours/{id}/submissions`	participant/teacher mode	tour participation	yes
`POST /teacher/tours/{id}/group-submissions`	teacher mode	teacher_mode/helper_limited	yes
`POST /tours/{id}/bulk-files`	teacher mode/venue layer	teacher_mode/teacher_venue_layer/systematika_admin	yes
`POST /photo-reports`	teacher mode/venue layer	teacher_mode/teacher_venue_layer	yes
`PATCH /photo-reports/{id}/status`	`competitions.venues.manage`	systematika_admin	yes
`POST /admin/submissions/{id}/lock`	`competitions.submissions.manage`	systematika_admin	yes
`POST /checker/submissions/{id}/check`	`competitions.check.manage`	assigned/systematika_admin	yes
`POST /admin/results/calculate`	`competitions.results.manage`	systematika_admin	yes
`POST /admin/results/{id}/finalize`	`competitions.results.manage`	systematika_admin	yes
`POST /appeals`	authenticated	self/family/teacher_mode	yes
`POST /admin/appeals/{id}/decision`	`competitions.appeals.manage`	systematika_admin	yes
`POST /admin/arbitration-cases`	`competitions.arbitration.manage`	systematika_admin/checker	yes
`POST /admin/arbitration-cases/{id}/decision`	`competitions.arbitration.manage`	systematika_admin	yes
`POST /admin/publications`	`competitions.publications.manage`	systematika_admin	yes
`POST /admin/documents/generate`	`competitions.documents.manage`	systematika_admin	yes
`GET /admin/audit-logs`	`competitions.audit.read`	security/systematika_admin	yes

Visibility gates

Данные	Gate
личный результат	self/family/teacher after personal publication
публичный результат	public publication
удержанный результат	hidden until systematika_admin release
работа/скан	self/family/teacher_mode/checker/systematika_admin + work publication policy
activity structure before tour	content/admin only
answer/check details	checker/systematika_admin or allowed teacher mode
documents	self/family/public verification by code

Ролевые наборы

Роль	Базовые permissions
`competitions.participant`	self context
`competitions.parent`	family context
`competitions.teacher`	teacher_mode, groups.manage, scoped submissions/results read
`competitions.teacher_helper`	helper_limited scoped actions
`competitions.external_teacher`	teacher_mode, external_teachers.manage.own, participants.manage.assigned, registrations scoped, results.read.assigned
`competitions.organization_coordinator`	teacher_admin_layer for selected organization
`competitions.venue_manager`	teacher_venue_layer, venue.read scoped
`competitions.checker`	check.read/manage assigned
`competitions.methodist`	content.manage
`competitions.admin`	systematika_admin, all competitions permissions

Audit events

Аудировать обязательно:

registration approval/rejection/cancel;
participant merge/duplicate decision;
access claim decision;
external teacher verification and student link changes;
Learning Group snapshot creation and helper grants;
delivery mode/track/venue change;
venue application, capacity decrease attempt and venue transfer;
activity binding/task structure lock;
submission lock/void;
group answer submit and late bulk upload;
photo report review;
score/check override;
appeal decision and arbitration decision;
result calculation/finalization;
result withholding/release;
publication and hide;
document generation/revoke;
audit log access.

Принципы​

Permissions​

Actor contexts​

Endpoint matrix​

Visibility gates​

Ролевые наборы​

Audit events​

Принципы

Permissions

Actor contexts

Endpoint matrix

Visibility gates

Ролевые наборы

Audit events