功能介绍

控制台模块旨在在全系统复杂的各类核心业务中寻找一个共治的交集锚点。在此大框架下，我们将其内部的主要机能拆解为了入口门户聚合、全局消息投递中心以及个人底座配置三大领域。

1. 入口门户区 (Home)

当使用者推开这道大门之后的首要交互区，负责完成资源聚合路由寻址调度。

• 动态应用卡片展示：后台在页面渲染前会自动关联并校验该员工所有关联组织内匹配下发的角色配置表，实现“所见即已有权限用”（有效解决新入职员工面对茫茫应用海，因为误撞点进无授权系统导致不必要受挫）。并且卡片支持自动提取最新的系统标识语言配置投射出来。
• 私有化的卡片流编辑器：提供了一套由拖拽能力支撑的画板（解决了传统的基于系统默认平铺导致大屏用户浏览低效问题），支持个人按照需求流增删和保存入口顺序，支持系统识别保存状态与云端永久留痕。个性化配置按”用户 + 所属域”维度独立持久化，因此同名用户在不同域下互不串扰；若账号未显式归属某个域，则回退到默认域 domain.com 进行存取。内置应用的描述文本与标签（Tags）会根据用户当前语言偏好实时翻译后返回，无需手动切换。
• 空载场景首登引导器：对初次进入系统且仅属于默认访客组（OpsPilotGuest）的账号，强制弹出初始化引导。引导完成后服务端会将用户迁移至目标组织，后续再次进入则不再触发。此校验完全在服务端执行，前端无法绕过或伪造初始化状态。

2. 消息服务中心 (Notification Center)

这是一个提供给全员的内生订阅接收信箱。各类关联服务事件状态与通报指令汇聚地。

• 精细化分页查询过滤墙：列表以通知时间倒序排列，每页加载 10 条，支持无限滚动分页；可切换「未读」/「全部」两个 Tab，也支持按来源模块（app_module）精确筛查，帮助用户不遗漏任何重要系统消息。顶部铃铛每 30 秒自动轮询一次未读数量并刷新角标。
• 无感知批量消费闭环：除了点击单条通知自动标记已读外，还提供「一键全部已读」与单条删除能力。「一键全部已读」仅对当前用户未删除的未读通知生效，已被删除的通知不受影响。
• 按人隔离的已读与删除状态：每位用户的”已读时间”与”是否删除”在服务端独立存储（NotificationRead 表）。将某条通告标记已读或删除，仅影响本人的收件视图，不会改变同一条通知在其他同事处的呈现状态；顶部铃铛的未读角标也据此按人独立计数。
• 受控的通知来源白名单：通知由各子系统通过 NATS 内部消息总线投递，服务端在写入前校验来源合法性——内置模块（监控、CMDB、告警、日志、作业、节点管理、OpsPilot、运营分析等）及在系统中已正式注册的自定义应用均可投递，未注册来源将被拒绝；单条通知内容最长 2000 字符，超限同样会被拒绝。

3. 用户信息中心 (User Profile)

支撑管理用户自身的核心凭证状态以及业务沟通偏好锚定。

• 区域化偏好同步管控：提供了全方位的语言（跨国化中英支持）与基础时区修正器（从而保证日志审计流在展示侧的绝对本地时间一致对齐）。
• 邮箱校验换绑：支持通过邮箱验证码完成个人联系邮箱的安全换绑。系统向目标邮箱发送由密码学安全随机数生成器（CSPRNG）生成的 6 位数字验证码；验证码完全由服务端持有（存储于 Django Cache，有效期默认 10 分钟，可通过环境变量 EMAIL_CODE_TTL 调整），不会向客户端返回任何形式的哈希或原文，校验通过后立即销毁（一次性使用）。为防止平台邮件服务被滥用，每位已登录用户对同一目标邮箱 60 秒内最多发送 1 次验证码请求。填写收到的验证码并通过校验后，换绑方可生效。
• 带强策略校验的密码轮转：修改密码需满足平台统一安全基线（特殊字符、大小写字母与数字混合的最低复杂度要求），修改成功后将同步在所有已登录端生效。执行密码重置时须保持当前会话处于已登录状态（携带有效登录凭证），否则请求将被拒绝。

⚠️ 注意 / 安全最佳实践： “密码、安全校验等操作变更仅针对于当前处于会话控制中的当事人有效”。因此如果您长期离开了该办公屏幕界面范围，建议养成主动切换下线锁屏退出的好习惯。如果您在此发生了口令更新行为，系统也会自动接管并废弃并强切除其他存留的（例如手机端APP或浏览器隐身窗口残照的）关联Token失效，所以届时请记得跨全端重新做一轮新的安全登录验证行为。