update docs

Author: wu-clan

docs/backend/reference/conf.md

@@ -43,7 +43,7 @@ openapi JSON 数据在线地址
 
 ## 数据库配置
 
-### `DATABASE_TYPE` <Badge type="info" text="Literal['postgresql', 'mysql']" /> <Badge type="warning" text="env" />
+### `DATABASE_TYPE` <Badge type="info" text="Literal['mysql', 'postgresql']" /> <Badge type="warning" text="env" />
 
 数据库类型，仅支持 `postgresql` 和 `mysql`，需注意第三方插件兼容性
 
@@ -79,7 +79,7 @@ openapi JSON 数据在线地址
 
 数据库字符集，仅用于 mysql
 
-### `DATABASE_PK_MODE` <Badge type="info" text="str" />
+### `DATABASE_PK_MODE` <Badge type="info" text="Literal['autoincrement', 'snowflake']" />
 
 数据库主键模式，更多详情：[切换主键](./pk.md)
 
@@ -89,26 +89,64 @@ openapi JSON 数据在线地址
 
 ## Redis 配置
 
-### `REDIS_TIMEOUT` <Badge type="info" text="int" /> <Badge type="warning" text="env" />
-
-Socket 读写操作的超时时间和 Redis 建立 TCP 连接时的超时时间
-
-### `REDIS_HOST` <Badge type="info" text="int" />
+### `REDIS_HOST` <Badge type="info" text="str" /> <Badge type="warning" text="env" />
 
 Redis 服务器的主机地址
 
-### `REDIS_PORT` <Badge type="info" text="str" />
+### `REDIS_PORT` <Badge type="info" text="int" /> <Badge type="warning" text="env" />
 
 Redis 服务器的端口号
 
-### `REDIS_PASSWORD` <Badge type="info" text="int" />
+### `REDIS_PASSWORD` <Badge type="info" text="str" /> <Badge type="warning" text="env" />
 
 Redis 认证密码
 
-### `REDIS_DATABASE` <Badge type="info" text="str" />
+### `REDIS_DATABASE` <Badge type="info" text="int" /> <Badge type="warning" text="env" />
 
 全局默认使用的 Redis 逻辑数据库索引（0 - 15）
 
+### `REDIS_TIMEOUT` <Badge type="info" text="int" />
+
+Socket 读写操作的超时时间和 Redis 建立 TCP 连接时的超时时间
+
+## 缓存配置
+
+### `CACHE_LOCAL_ENABLED` <Badge type="info" text="bool" />
+
+是否启用本地缓存
+
+### `CACHE_LOCAL_MAXSIZE` <Badge type="info" text="int" />
+
+本地缓存最大容量
+
+### `CACHE_LOCAL_TTL` <Badge type="info" text="int" />
+
+本地缓存过期时长（秒）
+
+### `CACHE_REDIS_TTL` <Badge type="info" text="int" />
+
+Redis 缓存过期时长（秒）
+
+### `CACHE_CONFIG_REDIS_PREFIX` <Badge type="info" text="str" />
+
+系统配置缓存存储到 Redis 时的前缀
+
+### `CACHE_DICT_REDIS_PREFIX` <Badge type="info" text="str" />
+
+字典缓存存储到 Redis 时的前缀
+
+### `CACHE_PUBSUB_CHANNEL` <Badge type="info" text="str" />
+
+缓存失效发布订阅频道
+
+### `CACHE_PUBSUB_RECONNECT_DELAY` <Badge type="info" text="int" />
+
+缓存发布订阅重连延迟（秒）
+
+### `CACHE_PUBSUB_MAX_RECONNECT_ATTEMPTS` <Badge type="info" text="int" />
+
+缓存发布订阅最大重连次数
+
 ## Snowflake（雪花算法）
 
 ### `SNOWFLAKE_DATACENTER_ID` <Badge type="info" text="int" /> <Badge type="warning" text="env" />
@@ -234,6 +272,10 @@ JWT / RBAC 路由白名单正则模式，从路由头部开始匹配，与之匹
 
 ## 登录配置
 
+### `LOGIN_CAPTCHA_ENABLED` <Badge type="info" text="bool" />
+
+是否开启登录验证码
+
 ### `LOGIN_CAPTCHA_REDIS_PREFIX` <Badge type="info" text="str" />
 
 登录验证码存储到 Redis 时的前缀
@@ -242,10 +284,6 @@ JWT / RBAC 路由白名单正则模式，从路由头部开始匹配，与之匹
 
 登录验证码过期时长（秒）
 
-### `LOGIN_CAPTCHA_ENABLED` <Badge type="info" text="bool" />
-
-是否开始登录验证码
-
 ### `LOGIN_FAILURE_PREFIX` <Badge type="info" text="str" />
 
 登录失败存储到 Redis 时的前缀
@@ -280,10 +318,26 @@ JWT 中间件存储用户信息到 Redis 时的前缀
 
 ## 数据权限配置
 
+### `DATA_PERMISSION_MODEL_EXCLUDE` <Badge type="info" text="list[str]" />
+
+排除允许进行数据过滤的 SQLA 模型
+
 ### `DATA_PERMISSION_COLUMN_EXCLUDE` <Badge type="info" text="list[str]" />
 
 排除允许进行数据过滤的 SQLA 模型列，例如 id, password 等
 
+### `DATA_PERMISSION_MODEL_TEMPLATE_VARIABLES` <Badge type="info" text="list[dict[str, str]]" />
+
+数据规则模型可用模板变量
+
+### `DATA_PERMISSION_COLUMN_TEMPLATE_VARIABLES` <Badge type="info" text="list[dict[str, str]]" />
+
+数据规则字段可用模板变量
+
+### `DATA_PERMISSION_TEMPLATE_VARIABLES` <Badge type="info" text="list[dict[str, str]]" />
+
+数据规则值可用模板变量
+
 ## Socket.IO 配置
 
 ### `WS_NO_AUTH_MARKER` <Badge type="info" text="str" />
@@ -426,9 +480,13 @@ JWT 中间件存储用户信息到 Redis 时的前缀
 
 操作日志路径排除，在此配置内的请求地址不会记录操作日志
 
-### `OPERA_LOG_ENCRYPT_KEY_INCLUDE` <Badge type="info" text="list[str]" />
+### `OPERA_LOG_REDACT_KEYS` <Badge type="info" text="list[str]" />
+
+脱敏操作日志中的接口请求参数
 
-加密操作日志中的接口请求参数
+### `OPERA_LOG_QUEUE_MAXSIZE` <Badge type="info" text="int" />
+
+操作日志队列最大容量
 
 ### `OPERA_LOG_QUEUE_BATCH_CONSUME_SIZE` <Badge type="info" text="int" />
 
@@ -464,18 +522,14 @@ pip 下载最大重试次数
 
 ## Grafana 配置
 
-### `GRAFANA_METRICS` <Badge type="info" text="bool" />
+### `GRAFANA_METRICS_ENABLE` <Badge type="info" text="bool" />
 
 是否启用 Grafana 套件
 
 ::: warning
 如果不需要可观测性集成，不建议启用此功能
 :::
 
-### `GRAFANA_APP_NAME` <Badge type="info" text="str" />
-
-Grafana 应用名称，通常情况下，不建议修改
-
 ### `GRAFANA_OTLP_GRPC_ENDPOINT` <Badge type="info" text="str" />
 
 Grafana OTLP 协议 grpc 地址，用于发送遥测数据
@@ -542,19 +596,11 @@ Google 客户端 ID
 
 Google 客户端密钥
 
-### `OAUTH2_LINUX_DO_CLIENT_ID` <Badge type="info" text="str" /> <Badge type="warning" text="env" />
-
-Linux Do 客户端 ID
-
-### `OAUTH2_LINUX_DO_CLIENT_SECRET` <Badge type="info" text="str" /> <Badge type="warning" text="env" />
-
-Linux Do 客户端密钥
-
 ### `OAUTH2_STATE_REDIS_PREFIX` <Badge type="info" text="str" />
 
 OAuth2 状态信息存储到 Redis 时的前缀
 
-### `OAUTH2_STATE_EXPIRE_SECONDS` <Badge type="info" text="str" />
+### `OAUTH2_STATE_EXPIRE_SECONDS` <Badge type="info" text="int" />
 
 OAuth2 状态信息存储到 Redis 时的过期时间（秒）
 
@@ -566,10 +612,6 @@ GitHub 重定向地址，必须与 GitHub OAuth Apps 配置保持一致
 
 Google 重定向地址，必须与 Google OAuth 2.0 客户端配置保持一致
 
-### `OAUTH2_LINUX_DO_REDIRECT_URI` <Badge type="info" text="str" />
-
-Linux Do 重定向地址，必须与 Linux Do Connect 配置保持一致
-
 ### `OAUTH2_FRONTEND_LOGIN_REDIRECT_URI` <Badge type="info" text="str" />
 
 登陆成功后，重定向到前端的地址
@@ -580,11 +622,11 @@ Linux Do 重定向地址，必须与 Linux Do Connect 配置保持一致
 
 ## 插件：Email
 
-### `EMAIL_USERNAME` <Badge type="info" text="str" />
+### `EMAIL_USERNAME` <Badge type="info" text="str" /> <Badge type="warning" text="env" />
 
 电子邮箱发件用户
 
-### `EMAIL_PASSWORD` <Badge type="info" text="str" />
+### `EMAIL_PASSWORD` <Badge type="info" text="str" /> <Badge type="warning" text="env" />
 
 电子邮箱发件用户密码
 
@@ -606,4 +648,4 @@ Linux Do 重定向地址，必须与 Linux Do Connect 配置保持一致
 
 ### `EMAIL_CAPTCHA_EXPIRE_SECONDS` <Badge type="info" text="int" />
 
-电子邮件验证码缓存时长（秒）
+电子邮件验证码缓存时长（秒）

docs/backend/reference/data-permission.md

@@ -22,9 +22,110 @@ SQL 语句拼接进行实现的，而这些固定权限，直接写死了数据
 
 ## 内置方案
 
-有没有一种更加灵活的方案呢，答案是，当然有，目前，我们在 fba 中实现的正是超灵活方案，但相比于常见方案来讲，配置会更加复杂
+fba 内置了一套灵活的数据权限方案，通过数据范围（DataScope）+ 数据规则（DataRule）的组合，实现动态、可配置的数据过滤，无需业务表满足特定字段要求
 
-你可以直接查看代码源文件 `backend/common/security/permission.py`
-，它与常规方案使用近乎相同的方式实现数据过滤，但由于其复杂性，下面，我们将通过视频进行讲解：
+### 架构设计
 
-@[bilibili](BV13hioY1EQU)
+数据权限通过以下关系链实现：
+
+```
+用户 → 角色 → 数据范围 → 数据规则
+```
+
+### 数据范围
+
+数据范围（DataScope）是数据规则的逻辑分组，一个数据范围可以包含多条数据规则
+
+### 数据规则
+
+数据规则（DataRule）定义具体的过滤条件，每条规则由模型、字段、运算符、表达式和值组成
+
+### 模板变量
+
+为了适应动态场景，数据规则支持模板变量，在运行时自动解析为实际值
+
+#### 模型模板变量
+
+用于数据规则的 `model` 字段
+
+| 变量        | 说明     |
+|-----------|--------|
+| `__ALL__` | 匹配所有模型 |
+
+#### 字段模板变量
+
+用于数据规则的 `column` 字段
+
+| 变量               | 说明                          |
+|------------------|-----------------------------|
+| `__dept_id__`    | 部门 ID（解析为模型的 `dept_id` 字段）  |
+| `__created_by__` | 创建者（解析为模型的 `created_by` 字段） |
+
+#### 值模板变量
+
+用于数据规则的 `value` 字段
+
+| 变量           | 说明          |
+|--------------|-------------|
+| `${user_id}` | 当前登录用户 ID   |
+| `${dept_id}` | 当前登录用户部门 ID |
+| `${now}`     | 当前时间        |
+
+### 使用
+
+#### 接口依赖注入
+
+通过 `DataPermissionFilter` 类在接口中注入数据权限过滤条件，传入需要进行数据过滤的模型类
+
+```python
+from backend.common.security.permission import DataPermissionFilter
+
+@router.get('')
+async def get_dept_tree(
+    db: CurrentSession,
+    data_filter: Annotated[ColumnElement[bool], Depends(DataPermissionFilter(Dept))],  # [!code highlight]
+) -> ResponseSchemaModel[list[GetDeptTree]]:
+    dept = await dept_service.get_tree(db=db, data_filter=data_filter, ...)
+    return response_base.success(data=dept)
+```
+
+#### CRUD 数据过滤
+
+在 CRUD 层中，将 `data_filter` 作为查询过滤条件传入
+
+```python
+async def get_all(
+    self,
+    db: AsyncSession,
+    data_filter: ColumnElement[bool],  # [!code highlight]
+    ...
+) -> Sequence[Dept]:
+    return await self.select_models_order(db, 'sort', 'asc', data_filter, **filters)
+```
+
+### 过滤流程
+
+```
+用户请求 API
+    ↓
+FastAPI 解析 Depends(DataPermissionFilter)
+    ↓
+filter_data_permission() 执行
+    ├── 超级管理员 → 无过滤，查看所有数据
+    ├── 角色 is_filter_scopes=False → 无过滤
+    ├── 无数据规则 → 无过滤
+    └── 存在数据规则 → 构建 SQLAlchemy 条件
+        ├── 解析模型模板变量（__ALL__ 等）
+        ├── 解析字段模板变量（__dept_id__ 等）
+        ├── 解析值模板变量（${user_id} 等）
+        ├── 根据表达式构建条件（==, !=, >, in 等）
+        └── 根据运算符组合条件（AND / OR）
+    ↓
+返回 ColumnElement[bool] 过滤条件
+    ↓
+CRUD 层使用过滤条件查询数据库
+```
+
+### 视频讲解
+
+@[bilibili](BV13hioY1EQU)

docs/backend/reference/timezone.md

@@ -48,27 +48,4 @@ sqlalchemy 和所有 python mysql 驱动默认都不处理 mysql 时区信息，
 更具体的：[sqlalchemy/1985](https://github.com/sqlalchemy/sqlalchemy/issues/1985)
 :::
 
-为此，我们使用了第 2 种解决方案，并创建了自定义 TimeZone 类型
-
-```python
-class TimeZone(TypeDecorator[datetime]):
-    """PostgreSQL、MySQL 兼容性时区感知类型"""
-
-    impl = DateTime(timezone=True)
-    cache_ok = True
-
-    @property
-    def python_type(self) -> type[datetime]:
-        return datetime
-
-    def process_bind_param(self, value: datetime | None, dialect) -> datetime | None:  # noqa: ANN001
-        if value is not None and value.utcoffset() != timezone.now().utcoffset():
-            # TODO 处理夏令时偏移
-            value = timezone.from_datetime(value)
-        return value
-
-    def process_result_value(self, value: datetime | None, dialect) -> datetime | None:  # noqa: ANN001
-        if value is not None and value.tzinfo is None:
-            value = value.replace(tzinfo=timezone.tz_info)
-        return value
-```
+为此，我们使用了第 2 种解决方案，并创建了自定义 TimeZone 类型，更多详情请查看：`backend/common/model.py`