feat(app): pnpm 一键启动 + Flutter Web 编译修复

1. 新增 pnpm start:dev / pnpm start:stop 命令
   - scripts/dev.mjs: 跨平台启动脚本（后端+管理端+学生端）
   - scripts/stop.mjs: 端口清理停止脚本
   - 根 package.json 定义 pnpm 脚本

2. 修复 Flutter Web 编译（Isar 3.x + flutter_secure_storage 不兼容）
   - isar_database: 条件导出，Web 用空 stub
   - isar_journal_repository: 条件导出，Web 用空 stub
   - sync_engine: 条件导出，Web 用内存队列（无 Isar 持久化）
   - 移除 flutter_secure_storage（v9 web 插件用 dart:html）
   - 新增 SecureTokenStore 接口 + shared_preferences 实现
   - auth_repository 改用 SecureTokenStore 接口

app/lib/data/repositories/auth_repository.dart

@@ -2,14 +2,14 @@
 //
 // 职责：
 // - 封装后端认证 API 调用（登录/注册/刷新令牌/登出）
-// - 通过 flutter_secure_storage 安全持久化 JWT 令牌（PIPL 合规）
+// - 通过 SecureTokenStore 安全持久化 JWT 令牌（PIPL 合规）
 // - 为 AuthBloc 提供干净的认证数据访问接口
 
 import 'dart:convert';
 
-import 'package:flutter_secure_storage/flutter_secure_storage.dart';
 import 'package:logger/logger.dart';
 
+import '../local/secure_token_store.dart';
 import '../models/auth_token.dart';
 import '../models/user.dart';
 import '../remote/api_client.dart';
@@ -33,11 +33,11 @@ class AuthException implements Exception {
 
 /// 认证仓库 — 管理用户登录状态和令牌
 ///
-/// 使用 [ApiClient] 与后端通信，使用 [FlutterSecureStorage] 持久化令牌。
-/// 所有令牌操作都是加密存储，满足儿童数据 PIPL 合规要求。
+/// 使用 [ApiClient] 与后端通信，使用 [SecureTokenStore] 持久化令牌。
+/// 原生平台使用加密存储，Web 平台使用 shared_preferences。
 class AuthRepository {
   final ApiClient _apiClient;
-  final FlutterSecureStorage _secureStorage;
+  final SecureTokenStore _tokenStore;
   final Logger _logger = Logger(printer: PrettyPrinter(methodCount: 0));
 
   AuthToken? _currentToken;
@@ -45,13 +45,9 @@ class AuthRepository {
 
   AuthRepository({
     required ApiClient apiClient,
-    FlutterSecureStorage? secureStorage,
+    required SecureTokenStore tokenStore,
   })  : _apiClient = apiClient,
-        _secureStorage = secureStorage ??
-            const FlutterSecureStorage(
-              aOptions: AndroidOptions(encryptedSharedPreferences: true),
-              iOptions: IOSOptions(accessibility: KeychainAccessibility.first_unlock),
-            );
+        _tokenStore = tokenStore;
 
   /// 当前用户（可能为 null）
   User? get currentUser => _currentUser;
@@ -167,10 +163,10 @@ class AuthRepository {
     _logger.d('恢复认证状态');
 
     try {
-      final accessToken = await _secureStorage.read(key: _keyAccessToken);
-      final refreshTokenStr = await _secureStorage.read(key: _keyRefreshToken);
-      final expiresAtStr = await _secureStorage.read(key: _keyExpiresAt);
-      final userJsonStr = await _secureStorage.read(key: _keyUserJson);
+      final accessToken = await _tokenStore.read(_keyAccessToken);
+      final refreshTokenStr = await _tokenStore.read(_keyRefreshToken);
+      final expiresAtStr = await _tokenStore.read(_keyExpiresAt);
+      final userJsonStr = await _tokenStore.read(_keyUserJson);
 
       if (accessToken == null || refreshTokenStr == null || userJsonStr == null) {
         _logger.d('无存储的认证信息');
@@ -238,27 +234,27 @@ class AuthRepository {
     _currentToken = token;
     _currentUser = user;
     await _saveToken(token);
-    await _secureStorage.write(
-      key: _keyUserJson,
-      value: jsonEncode(user.toJson()),
+    await _tokenStore.write(
+      _keyUserJson,
+      jsonEncode(user.toJson()),
     );
   }
 
   /// 仅保存令牌到安全存储
   Future<void> _saveToken(AuthToken token) async {
     _currentToken = token;
-    await _secureStorage.write(key: _keyAccessToken, value: token.accessToken);
-    await _secureStorage.write(key: _keyRefreshToken, value: token.refreshToken);
-    await _secureStorage.write(key: _keyExpiresAt, value: token.expiresAt.toIso8601String());
+    await _tokenStore.write(_keyAccessToken, token.accessToken);
+    await _tokenStore.write(_keyRefreshToken, token.refreshToken);
+    await _tokenStore.write(_keyExpiresAt, token.expiresAt.toIso8601String());
   }
 
   /// 清除所有认证数据
   Future<void> _clearAuth() async {
     _currentToken = null;
     _currentUser = null;
-    await _secureStorage.delete(key: _keyAccessToken);
-    await _secureStorage.delete(key: _keyRefreshToken);
-    await _secureStorage.delete(key: _keyExpiresAt);
-    await _secureStorage.delete(key: _keyUserJson);
+    await _tokenStore.delete(_keyAccessToken);
+    await _tokenStore.delete(_keyRefreshToken);
+    await _tokenStore.delete(_keyExpiresAt);
+    await _tokenStore.delete(_keyUserJson);
   }
 }