fix(security): P0 安全修复 — Access Token 吊销 + OpenAPI 保护 + RLS 补齐 + CI 加固 + 测试修复

P0-5: Access Token 吊销机制
- 新增内存 DashMap 黑名单（token_hash → exp），支持单 token 吊销
- 密码修改/登出时自动清除用户权限缓存，强制重新认证
- 惰性清理过期条目，防止内存无限增长

P0-6: OpenAPI 端点安全
- 生产构建返回 404，仅 cfg(debug_assertions) 模式可用
- 防止 385+ API 端点 schema 对外暴露

P0-4: RLS 策略补充迁移 (m000169)
- 幂等遍历所有含 tenant_id 的表，补齐缺失的 RLS 策略
- 覆盖 m000088 之后创建的约 20 张新表

P0-3: CI 安全加固
- 移除 CI 中硬编码密码 123123，改用 postgres
- 保持 cargo audit / npm-audit 严格门禁

P0-7: AI prompt 集成测试修复
- get_active_prompt 改按 analysis_type 查找而非 name
- list_prompts 过滤参数从 category 改为 analysis_type
- 167 集成测试全部通过（原 164 passed / 3 failed）

crates/erp-server/src/handlers/openapi.rs

@@ -1,5 +1,4 @@
-use axum::response::Json;
-use serde_json::Value;
+use axum::response::{IntoResponse, Json, Response};
 use utoipa::OpenApi;
 
 use crate::{ApiDoc, AuthApiDoc, ConfigApiDoc, MessageApiDoc, WorkflowApiDoc};
@@ -7,12 +6,20 @@ use crate::{ApiDoc, AuthApiDoc, ConfigApiDoc, MessageApiDoc, WorkflowApiDoc};
 /// GET /docs/openapi.json
 ///
 /// 返回 OpenAPI 3.0 规范 JSON 文档，合并所有模块的路径和 schema。
-pub async fn openapi_spec() -> Json<Value> {
-    let mut spec = ApiDoc::openapi();
-    spec.merge(AuthApiDoc::openapi());
-    spec.merge(ConfigApiDoc::openapi());
-    spec.merge(WorkflowApiDoc::openapi());
-    spec.merge(MessageApiDoc::openapi());
+/// 仅在 debug 模式下可用，生产构建返回 404。
+pub async fn openapi_spec() -> Response {
+    #[cfg(debug_assertions)]
+    {
+        let mut spec = ApiDoc::openapi();
+        spec.merge(AuthApiDoc::openapi());
+        spec.merge(ConfigApiDoc::openapi());
+        spec.merge(WorkflowApiDoc::openapi());
+        spec.merge(MessageApiDoc::openapi());
+        Json(serde_json::to_value(spec).unwrap_or_default()).into_response()
+    }
 
-    Json(serde_json::to_value(spec).unwrap_or_default())
+    #[cfg(not(debug_assertions))]
+    {
+        (axum::http::StatusCode::NOT_FOUND, "Not Found").into_response()
+    }
 }