---
req_id: REQ-USR-003
date: 2026-05-08
round: 4
reviewer: superpower-code-reviewer
---

# Review: REQ-USR-003 — round 4

## 结论
approve

## Must-fix
（无）

## Nice-to-have
- backend/src/main/java/com/example/erp/module/usr/controller/UserController.java:35-50 — docs/05 声明了 Permission: usr:query，但当前 SecurityConfig 仅做鉴权（authenticated），未启用 @PreAuthorize，属跨切面 REQ 的存量缺口，非本 REQ 引入
- backend/src/main/java/com/example/erp/common/response/Result.java:19 — docs/04 § 1.3 示例写 code:0，实际实现与 docs/05 一致为 200；docs/04 示例是历史遗留，可单独 docs commit 修正
- backend/src/main/resources/mapper/UsrUserMapper.xml:29,43 — staffName/department equals 分支未加 IS NULL OR，因为 equals '部门名' 语义上不应匹配无职员用户，行为正确但可补注释说明
- backend/src/test/java/com/example/erp/module/usr/UserControllerTest.java:109 — getUsers_withToken_returns200 未用 ArgumentCaptor 验证五个参数均正确转发给 service

## 反例 / 测试覆盖缺口
- 无 XML 动态查询路径（含/不含/等于、disabled 是否、lastLoginDate DATE 过滤、pageSize cap）的集成/切片测试；mapper 被 mock 后 XML 逻辑未被单元覆盖
- UserControllerTest 未断言响应中不含 sPasswordHash / iLoginFailCount / tLockUntil
- 前端测试未覆盖翻页 onChange 回调（load 以正确页码调用）