feat: Iteration 1 — 审计日志IP记录、文件上传、医护端API、小程序角色切换

Iteration 1 六项任务全部完成：

1. 审计日志IP记录 — task_local RequestInfo 自动注入 IP/user_agent
2. 文件上传服务 — multipart 上传 + ServeDir 静态文件服务
3. 医护端后端API — 医生工作台仪表盘 + 患者标签CRUD + 会话已读
4. 小程序角色切换 — 登录后根据角色跳转医护台/患者首页
5. 小程序安全加固 — secure-storage 开发模式警告
6. 讨论记录归档 — docs/discussions/

crates/erp-core/src/audit_service.rs

@@ -1,12 +1,28 @@
 use crate::audit::AuditLog;
 use crate::entity::audit_log;
+use crate::request_info::RequestInfo;
 use sea_orm::{ActiveModelTrait, Set};
 use tracing;
 
 /// 持久化审计日志到 audit_logs 表。
 ///
 /// 使用 fire-and-forget 模式：失败仅记录 warning 日志，不影响业务操作。
-pub async fn record(log: AuditLog, db: &sea_orm::DatabaseConnection) {
+///
+/// 自动从 task_local 读取当前请求的 IP 和 User-Agent，
+/// 如果 AuditLog 中已有 ip_address/user_agent 则不覆盖。
+pub async fn record(mut log: AuditLog, db: &sea_orm::DatabaseConnection) {
+    // 自动填充请求来源信息（仅当调用方未显式设置时）
+    if log.ip_address.is_none() || log.user_agent.is_none() {
+        if let Some(info) = RequestInfo::try_current() {
+            if log.ip_address.is_none() {
+                log.ip_address = info.ip_address;
+            }
+            if log.user_agent.is_none() {
+                log.user_agent = info.user_agent;
+            }
+        }
+    }
+
     let model = audit_log::ActiveModel {
         id: Set(log.id),
         tenant_id: Set(log.tenant_id),