chore: initial baseline with P0-safety .gitignore

docs/OTP二次验证实现.md

@@ -0,0 +1,89 @@
+# OTP 二次验证实现文档
+
+## 功能概述
+
+为 IT 支持服务台坐席端增加 OTP 二次验证功能：
+- admin 角色登录时需要输入 Google Authenticator 动态码
+- 首次绑定需要验证一次码才启用
+- OTP 丢失后需管理员重置
+
+## 实现方案
+
+### 1. 后端修改
+
+#### 1.1 安装依赖
+```bash
+pip install pyotp qrcode[pil] pillow
+```
+
+#### 1.2 数据库模型
+Agent 模型已有字段：
+- `otp_secret`: OTP 密钥（Base32编码）
+- `otp_enabled`: OTP 是否启用（0=否, 1=是）
+
+#### 1.3 Schema 修改
+文件：`backend/app/schemas/agent.py`
+- `AgentLogin` 增加 `otp_code` 可选字段
+- `AgentResponse` 增加 `otp_enabled` 字段
+
+#### 1.4 API 修改
+文件：`backend/app/api/agents.py`
+
+新增接口：
+- `POST /api/agents/otp-bind` - 生成 OTP 密钥和二维码
+- `POST /api/agents/otp-verify` - 验证并启用 OTP
+- `POST /api/agents/otp-unbind` - 解绑 OTP
+
+登录接口修改：
+- admin 角色且 otp_enabled=1 时，检查 otp_code
+- 未提供 otp_code 返回 `require_otp: True`
+- 验证 OTP 码正确后生成 token
+
+### 2. 前端修改
+
+#### 2.1 坐席端 API
+文件：`frontend-agent/src/api/agent.ts`
+- `login()` 增加 `otpCode` 参数
+
+#### 2.2 坐席端 Store
+文件：`frontend-agent/src/stores/agent.ts`
+- `login()` 增加 `otpCode` 参数
+- 返回 `require_otp` 标记让页面处理
+
+#### 2.3 坐席端登录页面
+文件：`frontend-agent/src/views/Login.vue`
+- 增加 OTP 输入框（v-if="requireOtp"）
+- 首次登录返回 require_otp 时显示输入框
+- 用户输入 OTP 后再次登录
+
+## 使用流程
+
+### 首次绑定 OTP
+1. 管理员登录坐席端
+2. 调用 `POST /api/agents/otp-bind`
+3. 获取二维码和密钥
+4. 使用 Google Authenticator 扫描二维码
+5. 调用 `POST /api/agents/otp-verify` 输入动态码验证
+6. 验证成功，otp_enabled 设为 1
+
+### 登录流程
+1. 用户输入 user_id 和 name
+2. 后端检查 admin 角色且 otp_enabled=1
+3. 返回 `require_otp: True`
+4. 前端显示 OTP 输入框
+5. 用户输入 6 位动态码
+6. 后端验证通过，生成 token
+
+### 解绑流程
+1. 管理员调用 `POST /api/agents/otp-unbind`
+2. otp_secret 和 otp_enabled 清空
+
+## 错误码
+
+| 错误码 | 说明 |
+|--------|------|
+| 1006 | OTP 验证码错误 |
+| 1007 | OTP 绑定失败 |
+| 1008 | 请先绑定 OTP |
+| 1009 | OTP 验证失败 |
+| 1010 | OTP 解绑失败 |