rbac-permissions-architect

RBAC Permissions Architect 技能使开发人员与架构师能够在项目的权限基础架构内，设计强大、安全且模组化的功能。它为将新功能集成到多租户环境中提供了结构化的方法，确保访问控制保持一致并符合现有的安全原则。通过使用此技能，用户可以系统化地定义工作区边界、资源权限和复杂的基于角色的访问控制逻辑，而不会影响系统的完整性。

• 针对三个核心支柱提供专家指导：工作区 (Workspaces)、功能 (Features) 与 RBAC 控制机制。

• 简化权限矩阵定义，使用 CRUD+ 动作集（例如 boards.create, boards.read, card_comments.delete）。

• 支持自动化的 CASL (Ability-based) 集成，将业务需求转化为类型安全的 TypeScript CASL 规则。

• 执行 Owner 与 Super Admin 特殊角色的架构规范，确保正确的权限绕过与限制逻辑。

• 支持功能独立性与工作区隔离，防止权限在组织或项目边界之间进行非授权的继承。

• 指导如何使用标准 PascalCase 与单数命名法将数据库实体映射到 CASL 主体 (Subjects)。

• 在撰写产品需求文件 (PRD) 时使用此技能，以确保安全性从设计阶段就内置于系统中。

• 咨询参考文件，包括 CONCEPTS.md、WORKSPACES.md 与 PERMISSIONS.md，以确保架构符合严格规范。

• 适用于涉及授权、功能启动或多租户实体访问模式的任务。

• 输入要求包括目标工作区范围（组织或项目）、实体定义以及预期的用户动作。

• 预期的输出是一份完整且可供 CASL 实现的设计文档，定义该特定功能模块的访问控制、可见性规则与管理员覆盖权限。