# 公司财务报销系统部署记录 ## 2026-06-09 15:44:55 +0800:审批专用飞书 App 凭据隔离部署 ### 目标 将公司财务后端的飞书审批 OpenAPI 调用与 Hermes 财务聊天机器人隔离,避免审批事件订阅、回调和 OpenAPI 权限配置影响当前飞书对话机器人。 ### 本次变更 - 本地 finance profile `.env` 已新增审批专用变量: - `COMPANY_FINANCE_FEISHU_APP_ID` - `COMPANY_FINANCE_FEISHU_APP_SECRET` - 云端 `/etc/company-finance/company-finance.env` 已新增同名变量,并保留时间戳备份。 - 后端 `backend/src/config.js` 已调整为优先读取审批专用变量,再回退到旧 `FEISHU_APP_ID / FEISHU_APP_SECRET`: - `COMPANY_FINANCE_FEISHU_APP_ID || FEISHU_APPROVAL_APP_ID || FEISHU_APP_ID` - `COMPANY_FINANCE_FEISHU_APP_SECRET || FEISHU_APPROVAL_APP_SECRET || FEISHU_APP_SECRET` - 已部署到云端 `/srv/company-finance/current/src/config.js` 并重启 `company-finance`。 ### 验证 - 本地新 App 凭据可成功获取飞书 `tenant_access_token`。 - 云端新 App 凭据可成功获取飞书 `tenant_access_token`。 - 云端服务重启后状态为 `active`。 - 云端 `/health` 返回 `ok: true`,数据库连接正常。 - 本地后端检查与单元测试通过:`npm run check`、`npm run test:unit`,共 16 项测试通过。 ### 2026-06-09 15:53:53 +0800 补充:Verification Token 已配置 - 已将新 App 加密策略页的 `Verification Token` 配置到本地 finance profile `.env` 和云端 `/etc/company-finance/company-finance.env`。 - 已重启云端 `company-finance`,健康检查显示 `verification_token_configured: true`。 - 公网回调地址探测通过: - v2 `challenge` URL 校验返回 200 且 challenge 正确。 - 携带正确 token 但不含审批实例 ID 的探测请求返回 400,说明 token 校验已通过并进入业务字段检查。 - 携带错误 token 的请求返回 401,说明校验生效。 - 截图显示 `Encrypt Key` 未开启;当前后端不解析飞书加密事件,因此保持未开启即可。 ### 未完成事项 - 需要在新 App 中配置请求地址:`https://wwyl.yipeng.online/finance-reimbursement/api/approval/feishu/callback`,订阅审批实例状态变化事件,并完成一次真实审批回调验证。 ## 2026-06-09 15:07:58 +0800:飞书审批回调排查与当前实例状态同步 ### 问题现象 用户在飞书审批单中已点“审批通过”,但后台看板仍显示 `发起审批 / APPROVAL_PENDING`。 ### 排查结果 - 云端数据库中当前报销单 `RB20260609-EBA23300` 已绑定飞书实例,后台状态原为 `APPROVAL_PENDING`。 - 通过飞书 OpenAPI 实时读取该实例,飞书侧状态已是 `APPROVED`,审批单号为 `202606090001`。 - 云端 `approval_callback_event` 表原本为空,说明后台没有收到并记录过真实 webhook 事件。 - Nginx 最近访问日志未发现 `/finance-reimbursement/api/approval/feishu/callback` 或 `/api/webhooks/feishu/approval` 的真实回调命中。 - 云端 health 显示 `FEISHU_CALLBACK_VERIFICATION_TOKEN` 未配置,`FEISHU_CALLBACK_ALLOW_UNSIGNED=false`。 - 代码原先只识别旧版顶层 `{ challenge }` URL 校验体;飞书事件订阅 v2 形态可能是 `{ schema, header, event: { challenge } }`,需要兼容。 ### 已完成修复 - `backend/src/services/feishu-callback-service.js` 已兼容: - 顶层 `challenge`; - v2 嵌套 `event.challenge`; - token 从 `body.token`、`header.token`、`event.token` 读取。 - `backend/test/feishu-callback-service.test.js` 已增加 v2 URL 校验与 header token 测试。 - 已部署到云端并重启 `company-finance`。 - 线上已验证 v2 URL verification:`POST /finance-reimbursement/api/approval/feishu/callback` 返回 200 和对应 `challenge`。 - 已用飞书 OpenAPI 读取当前实例状态,并通过系统标准状态回写路径将当前报销单同步为 `APPROVED`,写入 `approval_callback_event` 和 `audit_log`,事件类型为 `manual_feishu_status_sync`。 ### 验证结果 - 本地 `npm run check`:通过。 - 本地 `npm run test:unit`:16/16 通过。 - 云端 `npm run check`:通过。 - 云端 `node --test test/feishu-callback-service.test.js`:3/3 通过。 - 云端服务:`company-finance` active。 - 线上 dashboard API 已显示当前报销单状态为 `APPROVED`。 - 汇总接口显示 `approved_count=1`,`by_status.APPROVED=1`。 ### 仍需配置 要让后续真实飞书审批自动 webhook 回写,仍需在飞书开放平台事件订阅中完成: ```text 请求地址:https://wwyl.yipeng.online/finance-reimbursement/api/approval/feishu/callback 事件:审批实例状态变化 / approval instance status change(以飞书后台展示名称为准) Verification Token:复制到云端 /etc/company-finance/company-finance.env 的 FEISHU_CALLBACK_VERIFICATION_TOKEN ``` 配置 token 后重启 `company-finance`,再发起一笔测试审批并确认 `approval_callback_event` 自动新增。 ## 2026-06-09 01:09:53 +0800:审批发起人/模板实时读取部署 ### 部署目标 将本地最新报销审批闭环改动部署到云端正式 `company-finance` 服务: - 审批发起人改为“当前和机器人对话并确认提交的飞书用户”; - `公司统一报销申请(测试)` 模板继续作为联调模板,流程走通后作为正式模板维护; - 云端正式提交前必须能实时读取飞书审批模板,不依赖本地映射兜底; - webhook 回调解析、状态归一化、回写路径补充测试覆盖。 ### 云端路径 - 公网入口:`https://wwyl.yipeng.online/finance-reimbursement/` - systemd:`company-finance` - 后端路径:`/srv/company-finance/current` - 文档路径:`/srv/company-finance/docs` - 内部端口:`127.0.0.1:8102` - 数据库:`company_finance` ### 本次同步文件 - `backend/src/services/reimbursement-approval-service.js` - `backend/src/services/feishu-approval-service.js` - `backend/src/services/feishu-callback-service.js` - `backend/test/approval-submission-service.test.js` - `backend/test/feishu-callback-service.test.js` - `backend/package.json` - `docs/feishu_reimbursement_approval_backend_flow.md` ### 云端环境修正 已补入: - `FEISHU_APP_ID` - `FEISHU_APP_SECRET` - `FEISHU_REIMBURSEMENT_APPROVAL_CODE=04E7B2B1-DCD7-44E1-84DA-7590CDD3DFE1` 仍待补: - `FEISHU_CALLBACK_VERIFICATION_TOKEN`:当前云端 health 显示未配置。真实 webhook 回写前,需要从飞书开放平台事件订阅/回调配置复制 verification token 到 `/etc/company-finance/company-finance.env`,重启服务后再验证。 ### 部署前备份 云端已在 `/srv/company-finance/backups/` 创建部署前备份: - `company-finance-current-before-approval-user-context-20260609_010200.tar.gz` 环境变量文件也已按修改时间点创建 `.bak.*` 备份,位于 `/etc/company-finance/`。 ### 验证结果 云端执行: - `npm ci --omit=dev`:通过; - `npm run check`:通过; - `npm run test:unit`:15 个测试全部通过; - `npm run db:migrate`:通过,数据库 `company_finance`,表数 17; - `systemctl restart company-finance`:成功,服务 active; - 内部 `/health`:`local_trial_only=false`,数据库模式 `postgresql`; - 公网 `/finance-reimbursement/health`:200,数据库模式 `postgresql`; - 云端 `POST /api/reimbursements/approval/prepare`:通过,且: - `template_source=feishu_openapi`; - `submit_ready=true`; - `missing_count=0`; - `applicant_source=request_context`; - `request_context_user_configured=true`。 验证用草稿已删除,最终正式库计数: - `intake_draft_count=0` - `reimbursement_order_count=0` ### 后续待办 1. 配置 `FEISHU_CALLBACK_VERIFICATION_TOKEN` 并重启 `company-finance`; 2. 用真实飞书会话用户 ID/open_id 走一次 submit,但必须先给用户发送审批预览并取得明确确认; 3. 等待飞书 webhook 回调,确认状态能从 `APPROVAL_PENDING` 更新为 `APPROVED` / `REJECTED`; 4. 确认审批通过后的“待打款/已打款”状态切换边界。