mjava-ai/openspec/changes/add-mjava-pro/spec.md

multi-tenant-runtime

REQ-MT-001 租户识别

• Controller 入口通过 TenantInterceptor 读 HTTP Header X-Tenant-Id
• Header 缺失：返回 401 { code: "TENANT_REQUIRED" }
• Header 存在但租户不在注册表：返回 403 { code: "TENANT_NOT_FOUND" }
• 识别成功：写入 TenantContext.set(profile)；请求结束时 TenantContext.clear()（务必在 finally）

REQ-MT-002 异步任务传递

• @Async 线程池必须通过 TaskDecorator 复制 TenantContext 到子线程（参考现有 MdcTaskDecorator）
• CompletableFuture 手动切换线程时需显式 TenantContext.propagate(ctx, () -> ...)

REQ-MT-003 Token 隔离

• UtilToken key 格式统一为 {tenantId}:{vendor}:{appKey}
• mjava-pro 不得使用无 tenant 前缀的 UtilToken 接口
• 无租户上下文（如定时任务）显式传 tenantId，或声明为 SYSTEM 伪租户

REQ-MT-004 审计日志扩展

• UtilHttp 审计日志在 mjava-baseline §3.5 字段基础上追加 tenantId
• 日志输出目标 ./log/{日期}/pro-{tenantId}.log（按租户分片，方便定责）

tenant-registry

REQ-TR-001 注册源

• 租户配置存放于宜搭"应用表"（formUuid 配置在 tenant.registry.formUuid）
• 字段约定见 design.md 表格
• 访问宜搭本身使用 application-{profile}.yml 配置的 aliwork.appType / aliwork.systemToken（这是 mjava-pro 自身的入口凭据，非租户凭据）

REQ-TR-002 加载与缓存

• 启动时全量拉取一次，写入 Map<String, TenantProfile>
• TTL：默认 600 秒（tenant.registry.ttlSeconds 可覆盖）
• 过期后首次访问触发异步刷新，旧值继续可用直到新值就绪（stale-while-revalidate）
• 热刷入口：POST /api/pro/_admin/reloadTenant（仅 dev profile）

REQ-TR-003 敏感字段处理

• appSecret / systemToken 等字段在日志输出时必须脱敏（***）
• 内存中允许保留明文（TenantProfile 字段直接 String，不引入加密存储以保持简单）

REQ-TR-004 失效与禁用

• 宜搭应用表 radioField_enabled=off → 注册表移除该 tenantId
• 请求携带已禁用 tenantId → 返回 403 TENANT_DISABLED

非目标明示

• 不定义 tenantId 命名规范（客户代号 / UUID / 数字 ID 均可，由运营决定）
• 不定义 tenant-level feature flag（有需要另外提案）
• 不定义多 tenant 同库的 row-level security（共享库方案下由业务 service 自行按 tenantId 过滤）