# GEO 平台管理员端 PRD V1 ## 1. 文档信息 | 项目 | 内容 | | --- | --- | | 文档名称 | GEO 平台管理员端 PRD V1 | | 文档版本 | V1.0 | | 文档状态 | 待评审 | | 创建日期 | 2026-03-25 | | 适用阶段 | V1 立项 / 设计 / 开发评审 | | 关联文档 | `docs/geo-platform-prd-v1.md` | | 关联文档 | `docs/geo-platform-tech-architecture-v1-50k.md` | | 关联文档 | `docs/media-binding-and-publish-v1.md` | ### 1.1 文档目标 本文档用于明确 GEO 平台管理员端 V1 的产品定位、权限边界、信息架构、核心流程、页面需求与验收标准,作为产品、设计、前后端、测试共同评审和执行的依据。 ### 1.2 版本说明 - V1 聚焦搭建平台级运营控制台,支撑租户管理、套餐额度管理、模型配置、任务运维、监控告警和审计追踪。 - V1 不追求完整财务结算、复杂工单审批流、自动化修复编排和企业级 CMDB 能力。 ## 2. 项目背景 ### 2.1 背景说明 当前 `docs/geo-platform-prd-v1.md` 主要描述的是租户端业务后台,服务对象是品牌运营、内容编辑和只读成员。随着平台能力扩大,仅有租户端后台无法满足平台内部运营与管理需要,主要会出现以下问题: - 无法统一查看全租户状态、套餐、额度和到期情况。 - 模型配置、Prompt 规则、系统模板等平台能力缺少集中管理入口。 - 异步任务失败、队列积压、平台发布异常时缺少统一运维面板。 - 高风险操作缺少集中审计,后续无法追踪谁修改了什么。 - 平台客服、运营、财务、审核等内部角色与租户端角色边界混乱。 因此需要建设独立的“平台管理员端”,作为平台内部运营、客服、超管和审核团队的统一控制台。 ### 2.2 目标用户 - 超级管理员 - 平台运营 - 客服支持 - 财务运营 - 审核 / 风控人员 - 技术运维人员 ### 2.3 核心价值 - 统一管理租户生命周期、套餐和额度策略。 - 统一管理平台级模型能力、模板能力和内容规则。 - 统一查看任务状态、系统健康和异常告警。 - 统一记录高风险操作、配置变更和额度变更。 - 明确平台内部角色权限边界,避免与租户端混用。 ## 3. 产品定位与边界 ### 3.1 产品定位 平台管理员端是 GEO 平台的内部运营控制台,不面向租户开放。其核心目标不是“使用内容生产能力”,而是“管理平台、治理风险、保障稳定、支撑运营”。 ### 3.2 与租户端的关系 | 维度 | 租户端后台 | 平台管理员端 | | --- | --- | --- | | 服务对象 | 品牌方、编辑、只读成员 | 平台内部团队 | | 数据范围 | 当前租户 | 全平台或指定租户 | | 核心目标 | 生成内容、发布内容、查看效果 | 管租户、管配置、管任务、管风险 | | 权限模型 | `tenant_role` | `platform_role` | | 风险等级 | 中 | 高 | | 推荐前端应用 | `admin-web` | `ops-admin-web` | ### 3.3 成功指标 - 新租户开通与初始化平均耗时 <= 10 分钟 - 平台人员查询租户状态与额度信息平均耗时 <= 1 分钟 - 异步任务失败定位时间 <= 5 分钟 - 平台关键配置变更具备 100% 审计记录 - 高风险操作具备二次确认和操作留痕 ### 3.4 V1 范围 V1 包含: - 平台工作台 - 租户中心 - 平台用户与角色管理 - 套餐与额度管理 - 模型中心 - 内容配置中心 - 平台接入管理 - 任务运维中心 - 监控告警 - 审计中心 V1 不包含: - 完整支付结算系统 - 多级审批流引擎 - 自动化故障修复编排 - 外部合作方管理门户 - 自助报表搭建平台 ## 4. 用户角色与权限 ### 4.1 平台角色定义 #### 4.1.1 超级管理员 - 管理全部平台配置和权限 - 查看全量租户、任务、监控和审计数据 - 执行高风险操作,如冻结租户、修改模型默认策略、恢复关键任务 #### 4.1.2 平台运营 - 管理租户、套餐、额度和平台模板 - 查看任务状态和平台基础监控 - 不负责财务口径变更与底层密钥管理 #### 4.1.3 客服支持 - 查询租户信息、任务状态、发布失败原因 - 协助排查问题并查看操作日志 - 不允许修改关键配置和发放额度 #### 4.1.4 财务运营 - 管理套餐档位、额度策略和补量记录 - 查看租户套餐使用情况和到期信息 - 不允许修改模型参数和发布规则 #### 4.1.5 审核 / 风控 - 管理敏感词、拦截策略和审核规则 - 查看异常发布记录和风险操作日志 - 不允许修改租户套餐和模型渠道密钥 #### 4.1.6 技术运维 - 查看服务健康、队列积压、Worker 状态和告警记录 - 支持任务重试、恢复和故障排查 - 不直接参与租户商务配置 ### 4.2 权限原则 - 平台管理员端与租户端账号体系逻辑隔离,但可复用统一认证服务。 - 后端权限控制必须基于 `platform_role + action + resource_scope` 校验,不能仅依赖前端隐藏菜单。 - 所有高风险操作必须具备二次确认、操作原因和审计日志。 - 涉及租户数据的查看与修改,需要明确记录目标 `tenant_id`。 - 密钥、令牌、模型渠道凭证等敏感数据默认脱敏显示。 ### 4.3 权限矩阵 | 模块 | 超级管理员 | 平台运营 | 客服支持 | 财务运营 | 审核 / 风控 | 技术运维 | | --- | --- | --- | --- | --- | --- | --- | | 租户查看 | 是 | 是 | 是 | 是 | 否 | 是 | | 租户冻结 / 解冻 | 是 | 是 | 否 | 否 | 否 | 否 | | 套餐与额度调整 | 是 | 是 | 否 | 是 | 否 | 否 | | 模型参数配置 | 是 | 否 | 否 | 否 | 否 | 是 | | 模板 / Prompt 配置 | 是 | 是 | 否 | 否 | 是 | 否 | | 敏感词 / 审核规则 | 是 | 否 | 否 | 否 | 是 | 否 | | 任务重试 / 恢复 | 是 | 是 | 否 | 否 | 否 | 是 | | 监控告警查看 | 是 | 是 | 是 | 否 | 是 | 是 | | 审计日志查看 | 是 | 是 | 是 | 是 | 是 | 是 | ## 5. 信息架构 ### 5.1 一级导航 - 工作台 - 租户中心 - 平台用户 - 模型中心 - 内容配置 - 平台接入 - 任务运维 - 监控告警 - 审计中心 ### 5.2 二级导航 #### 5.2.1 工作台 - 平台概览 #### 5.2.2 租户中心 - 租户列表 - 租户详情 - 套餐与额度 - 冻结与启用记录 #### 5.2.3 平台用户 - 用户列表 - 角色权限 - 登录审计 #### 5.2.4 模型中心 - LLM 配置 - Embedding 配置 - 渠道密钥 - 限流策略 #### 5.2.5 内容配置 - 系统模板 - Prompt 规则 - 分类标签 - 敏感词规则 #### 5.2.6 平台接入 - 媒体平台 - Adapter 配置 - 发布策略 - 平台状态 #### 5.2.7 任务运维 - 生成任务 - 知识学习任务 - 发布回调任务 - 重试任务 - 死信任务 #### 5.2.8 监控告警 - 服务健康 - 队列监控 - Worker 监控 - 存储监控 - 告警记录 #### 5.2.9 审计中心 - 操作日志 - 配置变更 - 额度变更 - 风险操作记录 ### 5.3 路由建议 ```text /platform/dashboard /platform/tenants /platform/tenants/:id /platform/plans /platform/platform-users /platform/platform-roles /platform/login-audits /platform/models/llm /platform/models/embedding /platform/models/channels /platform/models/limits /platform/content/templates /platform/content/prompts /platform/content/tags /platform/content/sensitive-rules /platform/integrations/media-platforms /platform/integrations/adapters /platform/integrations/publish-policies /platform/tasks/generation /platform/tasks/knowledge /platform/tasks/publish /platform/tasks/retry /platform/tasks/dead-letter /platform/monitoring/services /platform/monitoring/queues /platform/monitoring/workers /platform/monitoring/storage /platform/monitoring/alerts /platform/audit/operations /platform/audit/config-changes /platform/audit/quota-changes /platform/audit/risk-actions ``` ## 6. 核心流程 ### 6.1 租户开通流程 1. 平台人员创建租户。 2. 系统初始化租户基础信息、默认套餐与额度。 3. 平台人员可选配置默认模型策略与模板能力。 4. 系统生成初始租户管理员账号或邀请入口。 5. 审计中心记录租户创建与初始化操作。 ### 6.2 套餐与额度调整流程 1. 平台人员进入租户详情或套餐与额度页面。 2. 选择调整配额、重置时间或补量类型。 3. 系统要求填写变更原因并二次确认。 4. 变更结果立即生效或按设定时间生效。 5. 系统写入额度变更日志并通知相关租户。 ### 6.3 模型配置发布流程 1. 平台人员修改默认模型、限流策略或渠道参数。 2. 系统校验参数完整性、作用范围和冲突风险。 3. 高风险配置变更需要二次确认。 4. 配置生效后,后续新任务按最新策略执行。 5. 系统写入配置变更审计记录。 ### 6.4 失败任务处理流程 1. 平台人员在任务运维页筛选失败任务。 2. 查看任务参数、错误日志、重试次数、租户信息。 3. 根据错误类型选择重试、终止或转人工排查。 4. 系统记录操作人、操作原因与执行结果。 5. 若任务恢复成功,相关页面状态同步更新。 ### 6.5 风险操作审计流程 1. 任意高风险操作发起前展示确认弹窗。 2. 操作人必须填写原因或选择标准原因模板。 3. 系统写入审计日志,记录前后变更快照。 4. 审计中心支持按人员、租户、模块、时间范围回溯查询。 ## 7. 功能清单与优先级 | 模块 | 功能点 | 优先级 | | --- | --- | --- | | 工作台 | 平台核心指标、异常概览、快捷入口 | P0 | | 租户中心 | 租户列表、详情、冻结、启用、搜索筛选 | P0 | | 套餐与额度 | 套餐档位、额度调整、补量记录、到期管理 | P0 | | 平台用户 | 平台账号、角色分配、登录审计 | P0 | | 模型中心 | LLM 配置、Embedding 配置、限流、渠道管理 | P0 | | 内容配置 | 系统模板、Prompt 规则、敏感词规则 | P1 | | 平台接入 | 平台清单、Adapter 状态、发布策略 | P1 | | 任务运维 | 任务列表、失败重试、死信处理 | P0 | | 监控告警 | 服务健康、队列积压、Worker 监控、告警记录 | P0 | | 审计中心 | 操作日志、配置变更、额度变更、风险操作记录 | P0 | ## 8. 页面详细需求 ## 8.1 工作台 ### 8.1.1 页面目标 为平台内部人员提供全平台运行概况、异常风险提示和高频操作入口。 ### 8.1.2 页面结构 - 核心指标卡 - 风险告警区 - 队列与任务概览 - 快捷操作区 - 最近关键操作时间线 ### 8.1.3 功能说明 展示指标建议包括: - 总租户数 - 活跃租户数 - 今日任务提交数 - 今日失败任务数 - 当前队列积压数 - 当前告警数 快捷入口建议包括: - 新建租户 - 调整额度 - 查看失败任务 - 查看告警详情 ### 8.1.4 验收标准 - 首屏可展示全平台概览指标。 - 异常信息支持直接跳转到对应详情页。 - 指标数据刷新机制明确,避免人工刷新才能看到最新状态。 ## 8.2 租户中心 ### 8.2.1 页面目标 统一管理租户生命周期、套餐状态、基础资料和使用情况。 ### 8.2.2 页面结构 - 租户列表页 - 租户详情页 - 套餐与额度页 - 冻结与启用记录页 ### 8.2.3 功能说明 租户列表字段建议包括: - 租户名称 - 租户状态 - 套餐类型 - 已用 / 总额度 - 到期时间 - 创建时间 - 最近活跃时间 租户详情建议包括: - 基本信息 - 账号与成员概览 - 品牌数 / 文章数 / 发布数 - 最近任务状态 - 最近错误与风险提示 - 操作日志时间线 ### 8.2.4 状态规则 租户状态: - trial - active - frozen - expired ### 8.2.5 验收标准 - 可按租户名、状态、套餐、时间筛选。 - 冻结和解冻操作具备二次确认。 - 套餐与额度调整具备留痕。 ## 8.3 平台用户 ### 8.3.1 页面目标 统一管理平台内部账号、角色与登录行为。 ### 8.3.2 功能说明 - 创建平台账号 - 分配平台角色 - 禁用 / 启用账号 - 查看最近登录记录 - 查看异常登录提醒 ### 8.3.3 验收标准 - 角色变更后权限立即生效。 - 登录审计可按用户和时间范围查询。 - 禁用账号后不可继续访问平台管理员端。 ## 8.4 模型中心 ### 8.4.1 页面目标 统一管理模型供应商、渠道、默认策略和限流能力。 ### 8.4.2 功能说明 - LLM 模型配置 - Embedding 模型配置 - 渠道密钥管理 - 默认模型策略 - 按租户或套餐设置限流 ### 8.4.3 风险控制 - 密钥默认脱敏 - 高风险变更要求二次确认 - 支持记录配置前后差异 ### 8.4.4 验收标准 - 可配置默认模型与备用模型。 - 限流策略可按租户或套餐生效。 - 所有变更都能在审计中心回溯。 ## 8.5 内容配置 ### 8.5.1 页面目标 统一管理平台级模板、Prompt 规则和内容安全策略。 ### 8.5.2 功能说明 - 系统模板管理 - Prompt 规则管理 - 分类标签管理 - 敏感词与拦截规则管理 ### 8.5.3 验收标准 - 模板和规则可启用、停用、版本化管理。 - 敏感词规则对生成和发布链路可生效。 - 变更具备审计记录。 ## 8.6 平台接入 ### 8.6.1 页面目标 统一管理平台支持的媒体平台、适配器状态和发布策略。 ### 8.6.2 功能说明 - 平台清单管理 - Adapter 状态与版本信息 - 发布限制规则 - 平台可用性状态展示 ### 8.6.3 验收标准 - 可查看每个平台当前接入状态。 - 当平台异常时可快速标记并通知平台运营。 - 发布策略调整具备审计留痕。 ## 8.7 任务运维 ### 8.7.1 页面目标 统一查看各类异步任务的状态,并支持重试、终止和排查。 ### 8.7.2 任务范围 - 文章生成任务 - 知识学习任务 - 发布回调任务 - 统计聚合任务 - 死信任务 ### 8.7.3 功能说明 - 按任务类型、状态、租户、时间筛选 - 查看错误信息、耗时、重试次数 - 支持任务重试和终止 - 支持查看上下游关联记录 ### 8.7.4 状态规则 任务状态: - queued - running - success - failed - canceled - dead_letter ### 8.7.5 验收标准 - 失败任务可快速定位到错误原因。 - 重试操作具备幂等保护。 - 死信任务具备单独入口与处理记录。 ## 8.8 监控告警 ### 8.8.1 页面目标 集中查看平台服务健康、基础设施状态和异常告警。 ### 8.8.2 功能说明 - 服务健康检查 - RabbitMQ 队列积压与消费延迟 - Worker 在线数与处理耗时 - PostgreSQL / Redis / Qdrant / 对象存储状态 - 告警记录与恢复状态 ### 8.8.3 告警状态 - active - recovered - ignored ### 8.8.4 验收标准 - 能定位队列积压、Worker 异常和依赖服务异常。 - 告警支持按级别、模块、状态筛选。 - 告警恢复后状态可追溯。 ## 8.9 审计中心 ### 8.9.1 页面目标 统一记录并查询平台关键操作、配置变更和额度变更。 ### 8.9.2 功能说明 - 操作日志查询 - 配置变更对比 - 额度变更记录 - 风险操作记录 - 按人、模块、租户、时间检索 ### 8.9.3 验收标准 - 关键模块操作具备完整日志。 - 日志包含操作人、目标对象、变更前后摘要、时间和结果。 - 风险操作日志不可被普通角色删除。 ## 9. 数据对象与状态建议 ### 9.1 核心对象 - 平台用户 - 平台角色 - 租户 - 套餐 - 额度记录 - 模型配置 - 模板规则 - 平台适配器 - 任务记录 - 告警记录 - 审计日志 ### 9.2 关键设计要求 - 所有对象需保留 `created_by`、`updated_by`、`created_at`、`updated_at`。 - 所有高风险对象变更需支持审计快照。 - 涉及租户的数据对象必须带 `tenant_id`。 ## 10. 安全与风控要求 - 平台管理员端建议使用独立入口与路由前缀。 - 平台级高风险操作需二次确认,必要时增加短信或二次口令验证。 - 敏感信息默认脱敏展示。 - 所有导出、批量修改、冻结、重试等动作均需审计。 - 登录、角色变更、配置发布等行为需进入审计中心。 ## 11. V1 最小可用版本建议 如果以尽快支撑平台日常运营为目标,建议一期先上线以下模块: - 工作台 - 租户中心 - 套餐与额度 - 平台用户 - 模型中心 - 任务运维 - 监控告警 - 审计中心 待一期稳定后,再逐步补齐: - 内容配置 - 平台接入 - 更细粒度的风险控制与审批能力 ## 12. 最终建议 平台管理员端应作为独立前端应用建设,建议命名为 `ops-admin-web`,与租户端 `admin-web` 并行存在,前端技术栈可统一采用 `Vue 3 + TypeScript + ant-design-vue + pnpm + Vite 8`。 后端在 V1 阶段可继续复用统一 Go 服务,通过 `platform_role`、`tenant_role`、路由前缀和资源范围控制实现权限隔离,推荐按以下方式组织接口: - `/api/platform/*`:平台管理员端接口 - `/api/tenant/*`:租户端接口 这样既能保持系统结构清晰,也能控制 V1 的研发成本与复杂度。