feat(v0.7.1): P0 修复 + 企微 SSO + RBAC 细粒度 + audit_log

P0 修复:
- /api/ready import 错误 (_get_engine + settings.create_redis_client)
- 删 agent.otp_secret/otp_enabled 双字段 (migration 026)
- 重建 021_rbac migration (IF NOT EXISTS 兼容)

P1 新增:
- 企微 SSO (auth_wecom_sso.py, useWeChatWorkSSO composable, PortalSelect UA 检测)
- RBAC 5 角色 × 4 资源 × 4 操作 × 3 范围 (rbac_service + seed_rbac + require_permission)
- audit_log 模型 + migration 027 + 服务 + API
- 管理后台 RBAC 权限矩阵 UI (PermissionsMatrix.vue)

质量:
- pytest 405 passed / 33 pre-existing failed / 4 xfailed (v0.7.1 引入失败 = 0)
- conftest GBK patch 强制 UTF-8 读 .env
- .gitignore 排除 *.b64 (含 admin token 凭据)
- DEPLOY-v0.7.1.md 7 步 runbook + 4 坑 + 回滚预案

backend/app/api/router.py

@@ -207,3 +207,16 @@ api_router.include_router(mfa_router, tags=["MFA二次认证"])
 # MFA 管理员重置 API (Phase 2.1 task #17,丢手机兜底)
 # POST /api/admin/mfa/reset/{employee_id} — 管理员重置指定员工 MFA
 api_router.include_router(mfa_admin_router, tags=["MFA管理(管理员)"])
+
+# 企微 SSO (v0.7.1 task #85)
+# GET /api/auth_wecom/sso/init        — 企微浏览器 UA 检测后初始化 SSO
+# GET /api/auth_wecom/sso/callback    — 企微 OAuth2 回调,用 code 换 userid → 跳端点
+# GET /api/auth_wecom/sso/verify      — 前端用 SSO token 换用户身份(一次性)
+from app.api.auth_wecom_sso import router as auth_wecom_sso_router
+api_router.include_router(auth_wecom_sso_router, tags=["企微SSO"])
+
+# 审计日志 API (v0.7.1 task #89)
+# GET /api/admin/audit-logs — 分页 + 多维过滤(给 auditor / admin 角色用)
+# 权限要求: audit_log:read:all (RBAC 装饰器强制)
+from app.api.audit_logs import router as audit_logs_router
+api_router.include_router(audit_logs_router, tags=["审计日志"])