补充安全权限日志与草稿状态约定

docs/specs/05_权限日志失败记录.md

@@ -4,6 +4,8 @@
 
 权限、日志和失败记录模块负责保证第一版闭环可控、可追溯、可复盘。权限必须在后端校验，关键操作必须写日志，AI、飞书、调度和业务失败必须形成失败记录。
 
+权限、安全、日志脱敏、飞书验签幂等和访问边界的全局事实源是 `docs/contracts/安全权限日志约定.md`；本 spec 只说明模块目标和业务补充。
+
 ## 2. 第一版做什么
 
 1. 定义老板、程经理、普通员工、管理员 / AI 团队四类角色。
@@ -68,6 +70,8 @@
 
 字段以 `docs/contracts/数据对象约定.md` 为准。
 
+安全和访问边界以 `docs/contracts/安全权限日志约定.md` 为准。
+
 ## 6. 接口需求
 
 主要接口：
@@ -92,6 +96,7 @@
 5. 普通员工不能给别人创建事项或提醒。
 6. 反馈人必须是事项或提醒接收人。
 7. 飞书登录用户必须匹配到启用状态的平台用户后才能进入平台。
+8. 模型调用日志、飞书原始 payload、失败记录原始错误和一次性操作 token 明文不得对普通员工开放。
 
 ## 8. 状态流转
 
@@ -129,6 +134,8 @@
 5. 日志中不得包含完整手机号、完整邮箱、飞书 token 或密钥。
 6. 未匹配平台用户的飞书登录应失败并写失败记录。
 7. PostgreSQL AI 记忆读写失败时，应写 `memory_store_failed`，不得继续依赖内存确认草稿。
+8. 飞书旧卡片或失效卡片回调只记录事件，不写业务对象。
+9. 一次性操作 token 只能保存 hash，普通日志不得出现明文。
 
 ## 11. Review 重点
 
@@ -137,3 +144,4 @@
 3. 失败记录是否包含关联对象、失败类型和处理结果。
 4. 日志是否记录操作人和渠道。
 5. 敏感信息是否被脱敏。
+6. 访问范围是否符合 `安全权限日志约定.md`。