feat(merge): 4 个 worktree 合入 main(扫码+MFA+高危+P0)

合入内容:
- worktree-A (auth_qrcode): 13 测试 ✅ — Phase 1.1 后端扫码登录
- worktree-B (mfa): 21 测试 ✅ — Phase 2.1 MFA TOTP + User 字段
- worktree-C (high_risk_guard): 28 测试 ✅ — Phase 1.3 高危守卫
- worktree-D (p0-fixes): 16 测试 ✅ — P0/P1 合规(WS 签名+UUID+access_log)

合并方式: 各 worktree 提取 format-patch → 只 apply 新增文件 → 手动合并 router.py/dependencies.py 冲突

新文件 (16):
  backend/alembic/versions/022_qrcode_login.py
  backend/alembic/versions/023_mfa_fields.py
  backend/alembic/versions/025_messages_id_uuid.py
  backend/app/api/auth_qrcode.py
  backend/app/api/high_risk_routes.py
  backend/app/api/mfa.py
  backend/app/schemas/mfa.py
  backend/app/schemas/qrcode.py
  backend/app/services/high_risk_guard.py
  backend/app/services/mfa_service.py
  backend/app/services/qrcode_service.py
  backend/scripts/nginx-access-log-sanitize.sh
  backend/tests/test_auth_qrcode.py (13)
  backend/tests/test_high_risk_guard.py (28)
  backend/tests/test_mfa.py (21)
  backend/tests/test_messages_uuid.py
  backend/tests/test_ws_endpoints.py
  backend/tests/test_ws_push_to_employee.py (xfail 4)

修改 (4):
  backend/app/api/router.py — 注册 auth_qrcode/high_risk_routes/mfa 3 个 router
  backend/app/dependencies.py — 加 HIGH_RISK_OPERATIONS + require_high_risk_otp
  backend/app/models/agent.py — mfa_secret/mfa_enabled/mfa_bound_at/mfa_last_verified_at
  backend/tests/conftest.py — create_test_conversation 接 db_session

测试结果(新增 78 + xfail 4):
  tests/test_auth_qrcode.py      13 passed
  tests/test_high_risk_guard.py  28 passed
  tests/test_mfa.py              21 passed
  tests/test_messages_uuid.py     8 passed
  tests/test_ws_endpoints.py      8 passed
  tests/test_ws_push_to_employee.py 4 xfailed (端点路径不一致,pre-existing)

4 端 frontend build 全部通过(agent/portal/admin/h5)

后续 TODO (用户操作):
1. 撤销 Gitea token 5ad83d... via Web UI
2. 跑 alembic upgrade head(生产 PG,025 messages UUID)
3. 应用 nginx access_log 脱敏(进容器改 conf)
4. 部署 backend + 4 端 dist + nginx reload

Co-Authored-By: Claude <noreply@anthropic.com>

backend/app/api/mfa.py

@@ -0,0 +1,389 @@
+# =============================================================================
+# 企微IT智能服务台 — MFA 二次认证 API
+# =============================================================================
+# 说明：基于 TOTP(Google Authenticator 兼容)的二次认证 API
+# Phase 2.1 task #17: pyotp TOTP 服务 + User MFA 字段
+#
+# 端点列表:
+#   1. GET  /api/mfa/status                 — 查询绑定状态(路由守卫用)
+#   2. POST /api/mfa/bind/start             — 生成 secret + 二维码(尚未启用)
+#   3. POST /api/mfa/bind/confirm           — 输入 OTP 完成绑定(启用)
+#   4. POST /api/mfa/verify                 — 输入 OTP 通过验证(写 Redis 30 分钟)
+#   5. POST /api/mfa/disable                — 用户主动关闭 MFA
+#   6. POST /api/admin/mfa/reset/{employee_id} — 管理员重置(员工丢手机兜底)
+#
+# 鉴权:
+#   - 1-5 用 get_current_user(任意已登录用户)
+#   - 6 用 require_role("admin")(管理员)
+#
+# 流程(典型用户视角):
+#   1. 前端路由守卫调 GET /status,bound=false → 跳转绑定页
+#   2. 用户点"绑定" → POST /bind/start → 展示二维码 + secret
+#   3. 用户用 Authenticator 扫码 → 输入 6 位码 → POST /bind/confirm
+#   4. 后续敏感操作前 → POST /verify → Redis 30 分钟内免重复输
+#   5. 丢手机 → 找管理员 → POST /admin/mfa/reset/{employee_id}
+# =============================================================================
+
+import logging
+from datetime import datetime
+from typing import Optional
+
+import redis.asyncio as aioredis
+from fastapi import APIRouter, Depends
+from sqlalchemy import select
+from sqlalchemy.ext.asyncio import AsyncSession
+
+from app.config import settings
+from app.database import get_db
+from app.dependencies import UserInfo, get_current_user
+from app.models.agent import Agent
+from app.schemas.mfa import (
+    MFAAdminResetResponse,
+    MFABindConfirmRequest,
+    MFABindConfirmResponse,
+    MFABindStartResponse,
+    MFADisableRequest,
+    MFADisableResponse,
+    MFAStatusResponse,
+    MFAVerifyRequest,
+    MFAVerifyResponse,
+)
+from app.services.mfa_service import MFA_VERIFIED_TTL_SECONDS, MFAService
+from app.utils.error_codes import ErrorCode
+from app.utils.response import AppException, success_response
+
+logger = logging.getLogger(__name__)
+
+
+# -----------------------------------------------------------------------------
+# 路由配置
+# -----------------------------------------------------------------------------
+# /api/mfa 前缀;admin 重置走 /api/admin/mfa 单独 router
+# -----------------------------------------------------------------------------
+router = APIRouter(prefix="/mfa", tags=["MFA二次认证"])
+admin_router = APIRouter(prefix="/admin/mfa", tags=["MFA管理(管理员)"])
+
+
+def _get_redis() -> aioredis.Redis:
+    """获取 Redis 客户端(模块级 helper,便于测试 patch)。
+
+    Returns:
+        aioredis.Redis: Redis 异步客户端
+    """
+    return settings.create_redis_client()
+
+
+# -----------------------------------------------------------------------------
+# 通用工具:根据 user_id 查 Agent 记录
+# -----------------------------------------------------------------------------
+async def _get_agent_by_employee_id(
+    db: AsyncSession, employee_id: str
+) -> Optional[Agent]:
+    """按 user_id(employee_id)查询 Agent 行。
+
+    Args:
+        db: 数据库会话
+        employee_id: 用户标识(企微 userid)
+
+    Returns:
+        Optional[Agent]: 找不到返回 None
+    """
+    stmt = select(Agent).where(Agent.user_id == employee_id)
+    result = await db.execute(stmt)
+    return result.scalars().first()
+
+
+# -----------------------------------------------------------------------------
+# 通用工具:验证当前用户是否已登录 + 取得 Agent 行
+# -----------------------------------------------------------------------------
+async def _require_agent(
+    db: AsyncSession, current_user: UserInfo
+) -> Agent:
+    """根据当前 token 取出对应的 Agent 行,不存在则 404。
+
+    为什么需要 Agent 行:
+      MFA 状态/secret 都存在 agents 表,不是 employees 表。
+
+    Raises:
+        AppException: 坐席不存在(E4001)
+    """
+    agent = await _get_agent_by_employee_id(db, current_user.employee_id)
+    if not agent:
+        raise AppException(ErrorCode.AGENT_NOT_FOUND, "坐席不存在,无法进行 MFA 操作")
+    return agent
+
+
+# =============================================================================
+# 1. GET /api/mfa/status — 查询绑定状态
+# =============================================================================
+@router.get("/status", response_model=None)
+async def get_mfa_status(
+    current_user: UserInfo = Depends(get_current_user),
+    db: AsyncSession = Depends(get_db),
+):
+    """查询当前用户的 MFA 绑定状态。
+
+    前端路由守卫使用:
+      - bound=false → 强制走绑定流程
+      - bound=true  → 跳到"输入 OTP 验证"或继续业务
+
+    Returns:
+        success_response({bound, enabled, last_verified_at})
+    """
+    agent = await _require_agent(db, current_user)
+
+    return success_response(data=MFAStatusResponse(
+        bound=bool(agent.mfa_enabled and agent.mfa_secret),
+        enabled=bool(agent.mfa_enabled),
+        last_verified_at=agent.mfa_last_verified_at,
+    ).model_dump(mode="json"))
+
+
+# =============================================================================
+# 2. POST /api/mfa/bind/start — 生成 secret + 二维码
+# =============================================================================
+@router.post("/bind/start", response_model=None)
+async def bind_start(
+    current_user: UserInfo = Depends(get_current_user),
+    db: AsyncSession = Depends(get_db),
+):
+    """生成 TOTP 密钥和二维码。
+
+    行为:
+      - 生成 32 位 base32 secret
+      - 把 secret 写入 agents.mfa_secret(mfa_enabled=False,mfa_bound_at=None)
+      - 返回 otpauth URI + base64 二维码 PNG(给前端展示)
+
+    重复调用策略:
+      - 如果已经 enabled=True → 拒绝,要求先 disable 再重新绑定
+      - 如果只是 secret 存在但 enabled=False → 复用旧 secret(支持"刷新二维码")
+
+    Returns:
+        success_response({secret, otpauth_url, qr_code_base64})
+    """
+    agent = await _require_agent(db, current_user)
+
+    # 已启用则拒绝重新绑定(必须先 disable)
+    if agent.mfa_enabled:
+        raise AppException(
+            ErrorCode.INVALID_PARAMETER,
+            "已绑定 MFA,如需重新绑定请先关闭",
+        )
+
+    # 复用旧 secret 还是新生成?
+    if agent.mfa_secret:
+        secret = agent.mfa_secret
+    else:
+        secret = MFAService.generate_secret()
+        agent.mfa_secret = secret
+        # mfa_enabled 保持 False,mfa_bound_at 等首次验证通过再写
+        db.add(agent)
+        await db.flush()
+
+    otpauth_url = MFAService.build_provisioning_uri(secret, agent.user_id)
+    qr_base64 = MFAService.render_qrcode_base64(otpauth_url)
+
+    logger.info(f"MFA bind/start: agent={agent.user_id}, secret_prefix={secret[:4]}...")
+
+    return success_response(data=MFABindStartResponse(
+        secret=secret,
+        otpauth_url=otpauth_url,
+        qr_code_base64=qr_base64,
+    ).model_dump())
+
+
+# =============================================================================
+# 3. POST /api/mfa/bind/confirm — 输入 OTP 完成绑定
+# =============================================================================
+@router.post("/bind/confirm", response_model=None)
+async def bind_confirm(
+    body: MFABindConfirmRequest,
+    current_user: UserInfo = Depends(get_current_user),
+    db: AsyncSession = Depends(get_db),
+):
+    """用 6 位 OTP 码确认绑定,启用 MFA。
+
+    行为:
+      - 用 mfa_secret 校验 otp_code(valid_window=1)
+      - 校验通过 → mfa_enabled=True, mfa_bound_at=now(), mfa_last_verified_at=now()
+      - 校验失败 → 抛 AppException(E_INVALID_PARAMETER)
+
+    Returns:
+        success_response({success: true})
+    """
+    agent = await _require_agent(db, current_user)
+
+    # 必须先 start(secret 必须存在)
+    if not agent.mfa_secret:
+        raise AppException(
+            ErrorCode.INVALID_PARAMETER,
+            "请先调用 /api/mfa/bind/start 获取二维码",
+        )
+
+    # 校验 OTP
+    if not MFAService.verify_code(agent.mfa_secret, body.otp_code):
+        logger.warning(f"MFA bind/confirm 验证码错误: agent={agent.user_id}")
+        raise AppException(ErrorCode.INVALID_PARAMETER, "OTP 验证码错误")
+
+    now = datetime.now()
+    agent.mfa_enabled = True
+    agent.mfa_bound_at = now
+    agent.mfa_last_verified_at = now
+    db.add(agent)
+    await db.flush()
+
+    logger.info(f"MFA bind/confirm 绑定成功: agent={agent.user_id}")
+
+    return success_response(data=MFABindConfirmResponse(success=True).model_dump())
+
+
+# =============================================================================
+# 4. POST /api/mfa/verify — 输入 OTP 通过验证(写 Redis 30 分钟)
+# =============================================================================
+@router.post("/verify", response_model=None)
+async def verify_mfa(
+    body: MFAVerifyRequest,
+    current_user: UserInfo = Depends(get_current_user),
+    db: AsyncSession = Depends(get_db),
+    redis: aioredis.Redis = Depends(_get_redis),
+):
+    """校验 6 位码,在 Redis 写 30 分钟复用标记。
+
+    行为:
+      - 校验通过 → mfa:verified:{employee_id}=1 TTL 1800s
+                  + 更新 mfa_last_verified_at
+      - 校验失败 → verified=false(不抛异常,前端可以重试)
+
+    Returns:
+        success_response({verified, expires_in})
+    """
+    agent = await _require_agent(db, current_user)
+
+    if not agent.mfa_enabled or not agent.mfa_secret:
+        # 用户还没绑定 MFA,直接返回 verified=false
+        # (前端可据此跳转到绑定流程)
+        return success_response(data=MFAVerifyResponse(
+            verified=False,
+            expires_in=0,
+        ).model_dump())
+
+    # 校验
+    if not MFAService.verify_code(agent.mfa_secret, body.otp_code):
+        logger.warning(f"MFA verify 验证码错误: agent={agent.user_id}")
+        return success_response(data=MFAVerifyResponse(
+            verified=False,
+            expires_in=0,
+        ).model_dump())
+
+    # 写 Redis 复用标记
+    await MFAService.mark_verified(redis, agent.user_id, MFA_VERIFIED_TTL_SECONDS)
+
+    # 更新最后验证时间
+    now = datetime.now()
+    agent.mfa_last_verified_at = now
+    db.add(agent)
+    await db.flush()
+
+    logger.info(f"MFA verify 通过: agent={agent.user_id}")
+
+    return success_response(data=MFAVerifyResponse(
+        verified=True,
+        expires_in=MFA_VERIFIED_TTL_SECONDS,
+    ).model_dump())
+
+
+# =============================================================================
+# 5. POST /api/mfa/disable — 用户主动关闭 MFA
+# =============================================================================
+@router.post("/disable", response_model=None)
+async def disable_mfa(
+    body: MFADisableRequest,
+    current_user: UserInfo = Depends(get_current_user),
+    db: AsyncSession = Depends(get_db),
+    redis: aioredis.Redis = Depends(_get_redis),
+):
+    """关闭 MFA(清空 secret + disabled 标记)。
+
+    安全要求: 必须先校验当前 OTP,防止误操作或被劫持后恶意关闭。
+
+    Returns:
+        success_response({success: true})
+    """
+    agent = await _require_agent(db, current_user)
+
+    if not agent.mfa_enabled or not agent.mfa_secret:
+        # 没绑定过,直接幂等成功
+        return success_response(data=MFADisableResponse(success=True).model_dump())
+
+    # 必须先验证 OTP
+    if not MFAService.verify_code(agent.mfa_secret, body.otp_code):
+        raise AppException(ErrorCode.INVALID_PARAMETER, "OTP 验证码错误,无法关闭 MFA")
+
+    # 清空字段
+    agent.mfa_secret = None
+    agent.mfa_enabled = False
+    agent.mfa_bound_at = None
+    # mfa_last_verified_at 保留,作为历史记录
+    db.add(agent)
+    await db.flush()
+
+    # 顺手清掉 Redis 验证标记(避免遗留)
+    await MFAService.clear_verified(redis, agent.user_id)
+
+    logger.info(f"MFA disable: agent={agent.user_id}")
+
+    return success_response(data=MFADisableResponse(success=True).model_dump())
+
+
+# =============================================================================
+# 6. POST /api/admin/mfa/reset/{employee_id} — 管理员重置(丢手机兜底)
+# =============================================================================
+# 注意:此端点不要求 otp_code(员工已无法提供),只校验 admin 角色
+# 鉴权:在函数体内手动检查 current_user.roles 是否含 'admin',抛 AppException(FORBIDDEN)
+# 原因:@require_role 装饰器 + body 参数组合在 FastAPI 签名合并时会重复 current_user 参数
+#       (已知坑,见 memory rbac-pydantic-coroutine-pitfalls.md),手动校验更稳
+# =============================================================================
+@admin_router.post("/reset/{employee_id}", response_model=None)
+async def admin_reset_mfa(
+    employee_id: str,
+    current_user: UserInfo = Depends(get_current_user),
+    db: AsyncSession = Depends(get_db),
+    redis: aioredis.Redis = Depends(_get_redis),
+):
+    """管理员重置指定员工的 MFA 绑定(无 OTP 验证)。
+
+    使用场景:
+      - 员工丢手机/换手机 → 管理员后台"重置 MFA"按钮
+
+    鉴权:校验 current_user 是否拥有 admin 角色。
+
+    Returns:
+        success_response({success: true})
+    """
+    # 角色校验:仅 admin 角色可访问
+    if "admin" not in current_user.roles:
+        raise AppException(
+            ErrorCode.FORBIDDEN,
+            "需要管理员权限",
+        )
+
+    stmt = select(Agent).where(Agent.user_id == employee_id)
+    result = await db.execute(stmt)
+    agent = result.scalars().first()
+
+    if not agent:
+        raise AppException(ErrorCode.AGENT_NOT_FOUND, f"坐席 {employee_id} 不存在")
+
+    agent.mfa_secret = None
+    agent.mfa_enabled = False
+    agent.mfa_bound_at = None
+    # mfa_last_verified_at 保留,作为审计
+    db.add(agent)
+    await db.flush()
+
+    # 顺手清 Redis 标记
+    await MFAService.clear_verified(redis, employee_id)
+
+    logger.info(f"MFA admin reset: employee_id={employee_id} by={current_user.employee_id}")
+
+    return success_response(data=MFAAdminResetResponse(success=True).model_dump())