fix: P0/P1 安全与质量缺陷修复 — 10 项 QA 审查问题解决

P0 安全修复:
- tenant_rls: SQL 拼接改为参数化查询防止注入
- follow_up_service: UUID SQL 拼接改为参数化原生查询
- RLS 策略: 新迁移移除空字符串绕过条件
- SSE 消息推送: token 键名 'token' → 'access_token' 修复
- rate_limit: 登录端点 Redis 不可达时 fail-close

P1 质量修复:
- 小程序缓存清理: preservedKeys 补全认证键名
- 小程序 token 刷新: 失败时清除所有认证数据
- 小程序 401: redirectTo → reLaunch 兼容 tabBar
- 集成测试: 信号量限制并行数据库创建(4个)
- change_password: 乐观锁 version 硬编码 → 动态递增

测试: 516 全部通过 (含 153 集成测试)

apps/web/src/stores/message.ts

@@ -72,7 +72,7 @@ export const useMessageStore = create<MessageState>((set, get) => ({
 
   connectSSE: () => {
     const baseUrl = import.meta.env.VITE_API_BASE_URL || '/api/v1';
-    const token = localStorage.getItem('token');
+    const token = localStorage.getItem('access_token');
     if (!token) return () => {};
 
     const url = `${baseUrl}/messages/stream?token=${encodeURIComponent(token)}`;