feat(audit): Q2 Chunk 3 — 审计日志补全

- 登录成功/失败均写入审计日志（含 IP、User-Agent）
- 登出、密码修改添加审计日志
- 用户/角色 update 记录变更前后值（old_value/new_value）
- 插件数据 CRUD（create/update/delete）添加审计日志
- auth handler 提取 X-Forwarded-For/X-Real-IP/User-Agent

crates/erp-auth/src/service/role_service.rs

@@ -171,6 +171,8 @@ impl RoleService {
             .filter(|r| r.tenant_id == tenant_id && r.deleted_at.is_none())
             .ok_or_else(|| AuthError::Validation("角色不存在".to_string()))?;
 
+        let old_json = serde_json::to_value(&model).unwrap_or(serde_json::Value::Null);
+
         let next_ver = check_version(version, model.version)
             .map_err(|e| AuthError::Validation(e.to_string()))?;
 
@@ -192,8 +194,12 @@ impl RoleService {
             .await
             .map_err(|e| AuthError::Validation(e.to_string()))?;
 
+        let new_json = serde_json::to_value(&updated).unwrap_or(serde_json::Value::Null);
+
         audit_service::record(
-            AuditLog::new(tenant_id, Some(operator_id), "role.update", "role").with_resource_id(id),
+            AuditLog::new(tenant_id, Some(operator_id), "role.update", "role")
+                .with_resource_id(id)
+                .with_changes(Some(old_json), Some(new_json)),
             db,
         )
         .await;