feat(v0.7.1): P0 修复 + 企微 SSO + RBAC 细粒度 + audit_log

P0 修复:
- /api/ready import 错误 (_get_engine + settings.create_redis_client)
- 删 agent.otp_secret/otp_enabled 双字段 (migration 026)
- 重建 021_rbac migration (IF NOT EXISTS 兼容)

P1 新增:
- 企微 SSO (auth_wecom_sso.py, useWeChatWorkSSO composable, PortalSelect UA 检测)
- RBAC 5 角色 × 4 资源 × 4 操作 × 3 范围 (rbac_service + seed_rbac + require_permission)
- audit_log 模型 + migration 027 + 服务 + API
- 管理后台 RBAC 权限矩阵 UI (PermissionsMatrix.vue)

质量:
- pytest 405 passed / 33 pre-existing failed / 4 xfailed (v0.7.1 引入失败 = 0)
- conftest GBK patch 强制 UTF-8 读 .env
- .gitignore 排除 *.b64 (含 admin token 凭据)
- DEPLOY-v0.7.1.md 7 步 runbook + 4 坑 + 回滚预案

backend/app/models/agent.py

@@ -123,21 +123,10 @@ class Agent(Base):
         comment="技能标签列表（电脑/软件/外设/网络/安全/资产/其他）",
     )
 
-    # OTP密钥（用于TOTP动态码验证，为空表示未绑定）
-    otp_secret: Mapped[str] = mapped_column(
-        String(32),
-        nullable=True,
-        default=None,
-        comment="OTP密钥（Base32编码）",
-    )
-
-    # OTP是否启用（admin角色强制启用）
-    otp_enabled: Mapped[bool] = mapped_column(
-        Integer,
-        nullable=False,
-        default=0,
-        comment="OTP是否启用（0=否, 1=是）",
-    )
+    # v0.7.1: 删除 otp_secret / otp_enabled 字段
+    # 原因: 与下方 mfa_secret / mfa_enabled 完全重复(都是 TOTP secret)
+    # 旧 OTP 字段只用于高危操作前的二次验证,mfa 字段已涵盖该用途
+    # 迁移策略: alembic 010 改为 DROP COLUMN otp_secret, otp_enabled
 
     # 本地密码哈希（可选，用于本地密码认证）
     # 使用 bcrypt 加密存储，不存储明文密码