Матрица прав
Принципы
- Все permissions проверяются на backend.
- Финансовое чтение отделено от клиентского чтения.
- Refund, adjustment, export и audit имеют отдельные permissions.
- UI может скрывать блоки, но не является security boundary.
- Сервисные интеграции используют service scopes и idempotency.
Permissions
| Permission | Назначение |
|---|---|
crm.accounts.read | читать карточки |
crm.accounts.manage | создавать и редактировать карточки |
crm.contacts.manage | управлять контактами |
crm.leads.read | читать лиды |
crm.leads.manage | управлять лидами |
crm.deals.read | читать сделки |
crm.deals.manage | управлять сделками |
crm.orders.read | читать заказы |
crm.orders.manage | управлять заказами |
crm.billing.read | читать счета, платежи, баланс |
crm.billing.manage | создавать счета и проводить billing actions |
crm.refunds.manage | проводить возвраты |
crm.adjustments.manage | ручные финансовые корректировки |
crm.entitlements.read | читать доступы |
crm.entitlements.manage | управлять доступами |
crm.interactions.read | читать коммуникации |
crm.interactions.manage | создавать коммуникации |
crm.tickets.read | чит�ать обращения |
crm.tickets.manage | управлять обращениями |
crm.notes.manage | писать заметки |
crm.payroll.read | читать payroll |
crm.payroll.read_self | читать свой payroll |
crm.payroll.manage | рассчитывать payroll |
crm.payroll.approve | утверждать выплаты |
crm.integrations.read | читать sync logs |
crm.exports.create | экспорт CRM данных |
crm.audit.read | читать audit |
crm.admin | системные настройки |
crm.products.read | читать продукты, запуски и тарифы |
crm.products.manage | управлять продуктами и запусками |
crm.price_plans.manage | управлять тарифами |
crm.entitlements.consume | принимать или откатывать потребление entitlement |
Actor contexts
| Context | Scope |
|---|---|
global | все карточки |
owner | account/deal owner |
support | карточка и обращения без финансовых действий |
finance | billing/refund/adjustment/payroll |
operations | entitlement и операционные статусы |
teacher_self | payroll только своего teacher_user_id |
audit | audit read-only |
Endpoint matrix
| Endpoint/action | Permission | Scope | Audit |
|---|---|---|---|
GET /accounts | crm.accounts.read | owner/support/global | no |
POST /accounts | crm.accounts.manage | owner/global | yes |
PATCH /accounts/{id} | crm.accounts.manage | owner/global | yes |
GET /accounts/{id}/timeline | crm.timeline.read или account read | block-level sensitivity | no |
POST /service/leads/from-storefront | service scope | storefront service | yes |
POST /invoices | crm.billing.manage | finance/global | yes |
POST /invoices/{id}/issue | crm.billing.manage | finance/global | yes |
POST /payments/provider-webhook/{provider} | provider signature | service | yes |
POST /refunds | crm.refunds.manage | finance/global | yes |
POST /adjustments | crm.adjustments.manage | finance/global | yes |
POST /entitlements | crm.entitlements.manage | operations/finance/global | yes |
PATCH /entitlements/{id}/status | crm.entitlements.manage | operations/finance/global | yes |
POST /products | crm.products.manage | product/finance/global | yes |
POST /products/{id}/runs | crm.products.manage | product/finance/global | yes |
POST /price-plans | crm.price_plans.manage | finance/global | yes |
POST /entitlements/{id}/consumption | crm.entitlements.consume | service/lms/competitions | yes |
POST /teacher-payouts/{id}/approve | crm.payroll.approve | finance/global | yes |
GET /me/teacher-payouts | crm.payroll.read_self | teacher_self | no |
POST /exports | crm.exports.create | scoped dataset | yes |
GET /audit-logs | crm.audit.read | audit/security | yes |
Sensitivity
| Блок | Требование |
|---|---|
| контакты | crm.accounts.read, masking по роли |
| billing | crm.billing.read |
| refunds/adjustments | crm.refunds.manage / crm.adjustments.manage |
| restricted notes | explicit role или admin |
| payroll rates | crm.payroll.manage |
| exports | crm.exports.create + audit |
Ролевые наборы
| Роль | Базовые permissions |
|---|---|
crm.manager | accounts/leads/deals/interactions/tickets read+manage in owner scope |
crm.support | accounts/interactions/tickets read+manage без billing actions |
crm.finance | billing/refunds/adjustments/payroll read+manage |
crm.operations | accounts read, entitlements manage, tickets manage |
crm.teacher | payroll.read_self |
crm.auditor | audit.read, billing.read readonly |
crm.admin | все CRM permissions |
Audit events
Аудировать обязательно:
- создание/изменение account/contact;
- создание лида из storefront;
- issue/cancel/void invoice;
- payment webhook processing;
- refund request/approval/result;
- adjustment/writeoff;
- entitlement activation/suspension/revoke;
- payroll calculation/approval/payment;
- export;
- чтение audit logs.