feat: add toc persistence foundation

Author: wangchunji

.env.example

@@ -3,6 +3,8 @@
 # Copy this file to .env and fill in your values
 # ============================================================
 
+# MySQL / Session / Redis configuration for ToC auth and project isolation
+DATABASE_PROVIDER=mysql
 DB_HOST=localhost
 DB_PORT=3306
 DB_NAME=cube_pets_office
@@ -11,6 +13,25 @@ DB_PASSWORD=your_password_here
 
 PORT=3001
 NODE_ENV=development
+CORS_ORIGIN=http://localhost:5173
+
+SESSION_SECRET=replace_with_a_64_char_random_hex_secret
+SESSION_COOKIE_NAME=cube_office_session
+SESSION_TTL_DAYS=30
+
+REDIS_ENABLED=false
+REDIS_HOST=localhost
+REDIS_PORT=6379
+REDIS_PASSWORD=your_redis_password_here
+REDIS_DB=2
+REDIS_KEY_PREFIX=cube:pets:office:
+
+QUEUE_REDIS_ENABLED=false
+QUEUE_REDIS_HOST=localhost
+QUEUE_REDIS_PORT=6379
+QUEUE_REDIS_PASSWORD=your_queue_redis_password_here
+QUEUE_REDIS_DB=3
+QUEUE_REDIS_KEY_PREFIX=cube:pets:office:queue:
 
 LLM_API_KEY=your_api_key_here
 LLM_BASE_URL=https://api.openai.com/v1

.kiro/specs/admin-audit-and-support-operations/design.md

@@ -0,0 +1,102 @@
+# 设计文档：Admin Audit And Support Operations
+
+## 设计概述
+
+本 spec 是管理员后台的后置增强，聚焦高风险运营动作和审计。基础原则是：能看不代表能改；能改必须有原因、确认、审计和最小权限。
+
+## 管理员分级
+
+```ts
+type AdminCapability =
+  | "admin:user:disable"
+  | "admin:user:restore"
+  | "admin:project:archive"
+  | "admin:run:retry"
+  | "admin:evidence:export"
+  | "admin:audit:read";
+
+const ADMIN_CAPABILITIES = {
+  admin: [
+    "admin:user:disable",
+    "admin:project:archive",
+    "admin:run:retry",
+    "admin:audit:read",
+  ],
+  super_admin: [
+    "admin:user:disable",
+    "admin:user:restore",
+    "admin:project:archive",
+    "admin:run:retry",
+    "admin:evidence:export",
+    "admin:audit:read",
+  ],
+};
+```
+
+第一阶段可以只用简单 role 判断；如果后台动作继续增加，再引入 capability helper。
+
+## 审计模型
+
+```ts
+interface AdminAuditLog {
+  id: string;
+  actorUserId: string;
+  actorRole: "admin" | "super_admin";
+  action: string;
+  targetType: "user" | "project" | "run" | "artifact" | "evidence" | "system";
+  targetId: string;
+  projectId?: string;
+  reason?: string;
+  requestId?: string;
+  ip?: string;
+  userAgent?: string;
+  result: "allowed" | "denied" | "failed";
+  detail?: Record<string, unknown>;
+  createdAt: string;
+}
+```
+
+审计日志只允许追加，不允许更新和删除。
+
+## API 草案
+
+```text
+POST /api/admin/users/:userId/disable
+POST /api/admin/users/:userId/restore
+POST /api/admin/projects/:projectId/archive
+POST /api/admin/runs/:runId/retry
+POST /api/admin/runs/:runId/mark-handled
+GET  /api/admin/evidence/:evidenceId
+POST /api/admin/evidence/:evidenceId/export
+GET  /api/admin/audit
+```
+
+所有写操作请求体都必须包含 `reason`。
+
+## 高风险操作确认
+
+前端执行禁用用户、恢复用户、归档项目、重跑任务、导出 evidence 时，应展示确认弹层，并要求填写或选择原因。服务端不信任前端确认状态，只检查 `reason` 和权限。
+
+## 脱敏策略
+
+后台列表可默认展示脱敏邮箱：
+
+```text
+alice@example.com -> a***e@example.com
+```
+
+运行日志、artifact preview 和 evidence detail 可在服务端提供 `redacted` 字段。完整内容导出需要更高权限，并记录 `admin:evidence:export` 审计。
+
+## 支持排障边界
+
+管理员不直接 impersonate 普通用户。排障页面通过只读 project bundle、run detail、evidence timeline 和 audit log 还原上下文。需要代用户修改项目时，应另开明确的 support action，并记录原因。
+
+## 与前置 spec 的关系
+
+- 依赖 `consumer-email-auth-and-account` 提供用户、角色和禁用状态。
+- 依赖 `personal-project-ownership-and-isolation` 提供项目 owner 和资源边界。
+- 依赖 `admin-console-and-global-role-gate` 提供后台入口和只读后台视图。
+
+## 非目标
+
+不引入租户级后台、不引入部门岗位、不引入工单系统、不引入复杂审批流、不改变普通用户的项目所有权规则。

.kiro/specs/admin-audit-and-support-operations/requirements.md

@@ -0,0 +1,51 @@
+# 需求文档：Admin Audit And Support Operations
+
+## 目标
+
+在管理员后台基础可视化之后，补充真实运营动作和强审计能力。该 spec 为后置可选项，只有当后台需要执行禁用用户、归档违规项目、重跑失败任务、导出证据等动作时才进入实施。
+
+## 背景
+
+`admin-console-and-global-role-gate` 第一阶段主要解决“管理员能看后台”。当系统进入真实运营后，管理员还需要有限度地干预用户和项目。由于这些动作风险高，必须有明确权限、确认、审计和回滚边界。
+
+## 需求
+
+### 需求 1：管理员操作分级
+
+系统应区分只读管理员、运营管理员和超级管理员能力。第一阶段可用 `admin` 与 `super_admin` 分级表达。
+
+### 需求 2：禁用和恢复用户
+
+管理员应能禁用违规或异常用户；超级管理员应能恢复用户。被禁用用户不能登录或访问受保护接口。
+
+### 需求 3：项目归档
+
+管理员应能归档违规、异常或测试项目。项目归档不应物理删除证据链。
+
+### 需求 4：失败任务处理
+
+管理员应能查看失败任务详情，并根据权限执行重试、标记已处理或生成排障记录。
+
+### 需求 5：证据查看与导出
+
+管理员应能查看项目 evidence 和 artifact。导出敏感证据时必须记录审计事件，并根据需要脱敏。
+
+### 需求 6：不可篡改审计
+
+管理员关键操作必须记录到审计日志，包含操作者、目标、动作、原因、结果、时间、请求来源和关联项目。审计日志不允许普通更新或删除。
+
+### 需求 7：操作确认
+
+高风险动作必须要求二次确认，并记录确认原因。
+
+### 需求 8：敏感信息脱敏
+
+后台展示和导出用户邮箱、日志、artifact preview、runtime detail 时，应支持敏感字段脱敏策略。
+
+### 需求 9：支持排障
+
+管理员应能围绕用户、项目、任务和 evidence 构建排障上下文，避免直接进入用户个人工作台 impersonation。
+
+### 需求 10：非目标
+
+本 spec 不做计费、订阅、客服工单系统、项目协作成员、租户组织管理或复杂审批流。

.kiro/specs/admin-audit-and-support-operations/tasks.md

@@ -0,0 +1,17 @@
+# 任务清单：Admin Audit And Support Operations
+
+- [ ] 定义 `AdminAuditLog` 类型和只追加持久化策略
+- [ ] 定义后台操作 capability helper，区分 `admin` 和 `super_admin`
+- [ ] 为管理员写操作增加 `reason` 校验
+- [ ] 实现禁用用户接口，并写入审计日志
+- [ ] 实现恢复用户接口，仅允许 `super_admin` 调用
+- [ ] 实现管理员归档项目接口，不物理删除项目证据链
+- [ ] 实现失败任务重试接口，并记录操作者和原因
+- [ ] 实现失败任务标记已处理接口
+- [ ] 实现管理员 evidence 查看接口，默认返回脱敏内容
+- [ ] 实现 evidence 导出接口，仅允许高权限管理员调用并记录审计
+- [ ] 新增后台高风险动作确认 UI，要求填写或选择原因
+- [ ] 新增后台审计详情页，支持按 actor、target、action、project 和时间筛选
+- [ ] 为用户邮箱、日志、artifact preview 和 evidence detail 增加脱敏 helper
+- [ ] 补充测试，覆盖权限分级、reason 必填、审计只追加、禁用用户无法登录、导出审计记录
+- [ ] 在文档中声明本 spec 为后置可选，不阻塞 ToC 登录和个人项目隔离 MVP

.kiro/specs/admin-console-and-global-role-gate/design.md

@@ -0,0 +1,122 @@
+# 设计文档：Admin Console And Global Role Gate
+
+## 设计概述
+
+本 spec 为 ToC 产品增加管理员后台。用户侧仍以“我的项目”为主，后台作为独立运营视角存在。第一阶段采用全局角色 gate：`user` 不能访问，`admin` 和 `super_admin` 可以访问。
+
+## 角色判断
+
+```ts
+type UserRole = "user" | "admin" | "super_admin";
+
+function isAdmin(user: CurrentUser | undefined) {
+  return user?.role === "admin" || user?.role === "super_admin";
+}
+```
+
+服务端中间件：
+
+```ts
+function requireAdmin(req, res, next) {
+  if (!req.user) {
+    return res.status(401).json({ success: false, error: "Authentication required" });
+  }
+
+  if (req.user.role !== "admin" && req.user.role !== "super_admin") {
+    return res.status(403).json({ success: false, error: "Admin privileges required" });
+  }
+
+  next();
+}
+```
+
+## 路由与 API
+
+前端路由：
+
+```text
+/admin
+/admin/users
+/admin/users/:userId
+/admin/projects
+/admin/projects/:projectId
+/admin/runs
+/admin/failures
+/admin/audit
+```
+
+服务端 API：
+
+```text
+GET /api/admin/summary
+GET /api/admin/users
+GET /api/admin/users/:userId
+GET /api/admin/projects
+GET /api/admin/projects/:projectId
+GET /api/admin/runs
+GET /api/admin/failures
+GET /api/admin/audit
+```
+
+所有 `/api/admin/*` 先走 `requireAuth`，再走 `requireAdmin`。后台第一阶段复用同一套 DB-backed session，不新增 `admin_session`、`AdminTokenService` 或独立 admin token。
+
+## 后台菜单
+
+后台菜单第一阶段写死：
+
+- Overview
+- Users
+- Projects
+- Runs
+- Failures
+- Audit
+
+不引入 `Menu` 表，不引入 role-menu 关系，不迁移 web-main 的 `/system/menus`。
+
+## 页面职责
+
+### Overview
+
+展示用户数、项目数、运行中任务、失败任务、最近异常和系统健康摘要。
+
+### Users
+
+展示用户列表和详情。第一阶段以查看为主，禁用/恢复用户等写操作由后置运营 spec 承接。
+
+### Projects
+
+展示全局项目列表和详情。管理员可查看项目上下文、owner、状态、spec、route、mission、artifact 和 evidence 摘要。
+
+### Runs / Failures
+
+展示运行任务、失败任务、等待接管任务和最近执行轨迹，用于运营排障。
+
+### Audit
+
+展示基础审计日志。更完整的不可篡改审计、导出和敏感操作记录由后置 spec 承接。
+
+## 前端入口
+
+应用 shell 通过 `isAdmin(currentUser)` 判断是否展示后台入口。普通用户看不到入口；即使手动输入 URL，也由路由守卫和服务端 API 拒绝。
+
+## 与 web-main 的取舍
+
+可参考：
+
+- `access.ts` 的 route gate 思路
+- `getCurrentUser` / `currentUser.roles` 的用户上下文
+- `/system/users`、`/system/operation-logs`、`/system/monitor` 的后台信息架构
+
+不迁移：
+
+- 独立 admin token / admin_session 双会话体系
+- 动态菜单树
+- 菜单 CRUD
+- 角色管理页
+- 权限管理页
+- 租户、部门、岗位、用户组
+- 数据权限配置
+
+## 非目标
+
+本 spec 不处理项目 owner 隔离本身，不处理登录注册，不处理管理员禁用用户、删除项目、重跑任务和导出 evidence 等高风险操作。

.kiro/specs/admin-console-and-global-role-gate/requirements.md

@@ -0,0 +1,51 @@
+# 需求文档：Admin Console And Global Role Gate
+
+## 目标
+
+为 ToC 形态的 Cube Pets Office 增加管理员后台入口。普通用户只进入个人项目工作台；`admin` 和 `super_admin` 才能看到并访问后台，用于查看用户、项目、运行状态和基础运营信息。
+
+## 背景
+
+用户侧产品主线是个人 Project-first 工作台，不应暴露企业后台概念。管理员后台是运营和支持视角，应与普通用户导航分离。`web-main` 的动态菜单和 `/system/*` 页面可作为后台信息架构参考，但第一阶段不迁移菜单管理、角色管理和权限矩阵。
+
+## 需求
+
+### 需求 1：管理员角色识别
+
+系统应根据当前用户全局角色判断是否为管理员。`admin` 和 `super_admin` 可以访问后台；`user` 不能访问后台。
+
+### 需求 2：后台入口可见性
+
+普通用户登录后不应看到后台入口。管理员登录后应在应用 shell 中看到后台入口。
+
+### 需求 3：后台路由保护
+
+所有 `/admin/*` 路由必须受 `requireAdmin` 保护。普通用户直接访问后台地址时应被拒绝或跳转。
+
+### 需求 4：后台菜单
+
+第一阶段后台菜单可写死，不需要数据库动态菜单。菜单至少覆盖用户、项目、运行、异常和基础审计入口。
+
+### 需求 5：用户管理视图
+
+管理员应能查看用户列表和用户详情，包括邮箱、角色、状态、创建时间、最后登录时间和项目数量。
+
+### 需求 6：项目管理视图
+
+管理员应能查看全局项目列表和项目详情。项目详情以运营只读为主，展示 owner、状态、spec/route/execution/evidence 摘要。
+
+### 需求 7：运行监控视图
+
+管理员应能查看全局运行任务、失败任务、等待接管任务和最近执行状态。
+
+### 需求 8：后台 API 隔离
+
+后台 API 应使用 `/api/admin/*` 命名空间，并和普通 `/api/projects` 用户接口分离，避免管理员全局能力泄漏到普通用户路径。
+
+### 需求 9：基础审计
+
+管理员访问后台和执行关键后台动作时，应记录操作者、动作、目标、时间和结果。完整审计治理由后置 spec 承接。
+
+### 需求 10：非目标
+
+本阶段不做动态菜单 CRUD、角色权限管理页、租户管理、部门岗位管理、数据范围规则和复杂 support 分级操作。