fix: P0/P1 安全与质量缺陷修复 — 10 项 QA 审查问题解决

P0 安全修复:
- tenant_rls: SQL 拼接改为参数化查询防止注入
- follow_up_service: UUID SQL 拼接改为参数化原生查询
- RLS 策略: 新迁移移除空字符串绕过条件
- SSE 消息推送: token 键名 'token' → 'access_token' 修复
- rate_limit: 登录端点 Redis 不可达时 fail-close

P1 质量修复:
- 小程序缓存清理: preservedKeys 补全认证键名
- 小程序 token 刷新: 失败时清除所有认证数据
- 小程序 401: redirectTo → reLaunch 兼容 tabBar
- 集成测试: 信号量限制并行数据库创建(4个)
- change_password: 乐观锁 version 硬编码 → 动态递增

测试: 516 全部通过 (含 153 集成测试)

crates/erp-auth/src/service/auth_service.rs

@@ -321,10 +321,11 @@ impl AuthService {
 
         // 3. Hash new password and update credential
         let new_hash = password::hash_password(new_password)?;
+        let current_version = cred.version;
         let mut cred_active: user_credential::ActiveModel = cred.into();
         cred_active.credential_data = Set(Some(serde_json::json!({ "hash": new_hash })));
         cred_active.updated_at = Set(Utc::now());
-        cred_active.version = Set(2);
+        cred_active.version = Set(current_version + 1);
         cred_active
             .update(db)
             .await