feat(sync): keycloak as source-of-truth with auto catalog sync and token refresh

2026-04-03 00:46:46 +08:00
parent 7986160d9e
commit 7660c662a5
18 changed files with 773 additions and 174 deletions
--- a/docs/LOCAL_DEV_RUNBOOK.md
+++ b/docs/LOCAL_DEV_RUNBOOK.md
@@ -37,13 +37,15 @@ npm run dev
 2. 前端按「前往 Keycloak 登入」應可成功導轉與回跳。
 3. `GET /me` 登入後應有資料。
 4. 非 admin 群組帳號打 `/admin/*` 應為 403。
+5. `POST /admin/sync/from-keycloak?force=true` 可手動觸發全量補齊同步。

 ## 6) 新模型驗收路徑
 1. 新增 Company、Site。
-2. 新增 System、Role。
-3. 對 Site 指派 Role。
-4. 新增 User，加入 Site。
-5. 驗證 User 的角色是由 Site 推導，不是 direct assign。
+2. 在 Keycloak 建立 System（Client）與 Role（Client Role）。
+3. 在後台按「同步 Keycloak」，確認 DB 補齊 System/Role。
+4. 對 Site 指派 Role。
+5. 新增 User，加入 Site。
+6. 驗證 User 的角色是由 Site 推導，不是 direct assign。

 ## 7) API 白名單驗收
 1. 建立 `api_client`。