飞书 OAuth 接入准备
本页用于管理员在接入真实飞书登录前,检查 HRMS 当前身份、Session、Cookie、回调地址、飞书开放平台配置项与上线前关闭 Demo Login 的条件。
连接设置
未连接
当前 HRMS 登录态
等待检查...
飞书配置状态
等待检查...
飞书开放平台需要配置
1. 应用基础信息
需要准备 FEISHU_APP_ID、FEISHU_APP_SECRET,并确认应用可用范围包含目标组织成员。
2. OAuth 回调地址
建议回调地址:
https://hrms.yuechongjia.com/api/auth/feishu/callback
3. 权限范围
至少需要用户身份信息、open_id / union_id 获取能力;后续如同步组织通讯录,还需要通讯录相关权限。
HRMS 环境变量模板
FEISHU_APP_ID=
FEISHU_APP_SECRET=
FEISHU_REDIRECT_URI=https://hrms.yuechongjia.com/api/auth/feishu/callback
HRMS_SESSION_SECRET=change_me
HRMS_COOKIE_NAME=hrms_session
HRMS_COOKIE_SECURE=true
HRMS_COOKIE_SAMESITE=Lax
HRMS_COOKIE_DOMAIN=hrms.yuechongjia.com
HRMS_ALLOW_DEMO_USER=false
FEISHU_APP_SECRET=
FEISHU_REDIRECT_URI=https://hrms.yuechongjia.com/api/auth/feishu/callback
HRMS_SESSION_SECRET=change_me
HRMS_COOKIE_NAME=hrms_session
HRMS_COOKIE_SECURE=true
HRMS_COOKIE_SAMESITE=Lax
HRMS_COOKIE_DOMAIN=hrms.yuechongjia.com
HRMS_ALLOW_DEMO_USER=false
上线前检查项
- 飞书应用 App ID / Secret 已配置到后端环境变量。
- 飞书回调地址已在开放平台后台登记。
- 至少 1 个管理员账号完成 open_id / union_id / employee_id 绑定。
- 至少 1 个普通员工账号完成绑定并可读取自己的权限菜单。
- /api/auth/me 可返回真实飞书登录用户。
- /api/navigation/menu 可按真实用户权限返回菜单。
- 员工报告、高管驾驶舱、组织洞察在真实登录态下权限正常。
- logout 可正常注销 session。
- login event 审计可查询。
- 确认关闭 Demo Login:HRMS_ALLOW_DEMO_USER=false。
身份绑定策略
推荐链路:飞书 open_id / union_id → user_employee_mappings → employee_id → permission_subjects → role_id / data_scope → current_user。
如果无法自动匹配员工,应创建 identity_binding_request,不直接授权访问敏感数据。
Debug
等待检查...
Identity Binding 管理员审核
新增身份绑定管理员审核页,用于查看 pending 飞书身份绑定申请,并支持 approve / reject。
真实飞书联调 Readiness
新增真实飞书联调红绿灯页面,用于检查配置、OAuth state、callback、identity binding 和安全开关状态。