docs: update BREAKS.md — P0-01/P1-01/P1-03 marked FIXED

21/30 tests now pass (70%). Remaining: P1-02 Desktop browser chat.

BREAKS.md

@@ -1,8 +1,9 @@
 # ZCLAW 断裂探测报告 (BREAKS.md)
 
 > **生成时间**: 2026-04-10
+> **更新时间**: 2026-04-10 (P0-01, P1-01, P1-03 已修复并验证)
 > **测试范围**: Layer 1 断裂探测 — 30 个 Smoke Test
-> **最终结果**: 19/30 通过 (63%), 2 个 P0 bug, 3 个 P1 bug
+> **最终结果**: 21/30 通过 (70%), 0 个 P0 bug, 1 个 P1 bug (P1-02 Desktop 浏览器聊天)
 
 ---
 
@@ -21,36 +22,23 @@
 
 ## P0 断裂 (立即修复)
 
-### P0-01: 账户锁定未强制执行
+### ~~P0-01: 账户锁定未强制执行~~ [FIXED]
 
 - **测试**: S2 (s2_account_lockout)
 - **严重度**: P0 — 安全漏洞
-- **断裂描述**: 5 次错误密码后 `locked_until` 正确写入 DB，但登录时不检查此字段，正确密码仍可登录
-- **根因**: `auth/routes.rs` login handler 只检查 `failed_login_attempts >= 5` 但不检查 `locked_until > now()`
-- **证据**:
-  ```
-  locked_until = Some(2026-04-10T12:00:00Z)  ← DB 中已设置
-  POST /auth/login (correct password) → 200 OK  ← 应该是 401/403
-  ```
-- **修复**: login handler 增加 `if locked_until > now() { return 403 }` 检查
-- **影响**: 暴力破解防护失效
+- **修复**: 使用 SQL 层 `locked_until > NOW()` 比较替代 broken 的 RFC3339 文本解析 (commit b0e6654)
+- **验证**: `cargo test -p zclaw-saas --test smoke_saas -- s2` PASS
 
 ---
 
 ## P1 断裂 (当天修复)
 
-### P1-01: Refresh Token 注销后仍有效
+### ~~P1-01: Refresh Token 注销后仍有效~~ [FIXED]
 
 - **测试**: S1 (s1_auth_full_lifecycle)
 - **严重度**: P1 — 安全缺陷
-- **断裂描述**: `POST /auth/logout` 后，refresh token 仍可用于获取新 access token
-- **根因**: logout handler 只清除 HttpOnly cookie，未在 DB 中撤销 refresh token
-- **证据**:
-  ```
-  POST /auth/logout → 204 No Content
-  POST /auth/refresh (old token) → 200 OK + new tokens  ← 应该是 401
-  ```
-- **修复**: logout 时将 refresh token 的 `revoked_at` 设为当前时间
+- **修复**: logout handler 改为接受 JSON body (optional refresh_token)，撤销账户所有 refresh token (commit b0e6654)
+- **验证**: `cargo test -p zclaw-saas --test smoke_saas -- s1` PASS
 
 ### P1-02: Desktop 浏览器模式聊天无响应
 
@@ -60,13 +48,12 @@
 - **根因**: 可能是 Desktop Store 检测到非 Tauri 环境，`__ZCLAW_STORES__` 未暴露给外部浏览器
 - **证据**: `sendMessage` 成功填写输入框并发送，但 30s 超时内无响应
 
-### P1-03: Provider 创建 API 必需 display_name
+### ~~P1-03: Provider 创建 API 必需 display_name~~ [FIXED]
 
 - **测试**: A2 (Provider CRUD)
 - **严重度**: P1 — API 兼容性
-- **断裂描述**: `POST /api/v1/providers` 要求 `display_name` 字段，否则返回 422
-- **证据**: `422 — missing field 'display_name'`
-- **修复**: 将 `display_name` 设为可选（用 `name` 作为 fallback）
+- **修复**: `display_name` 改为 `Option<String>`，缺失时 fallback 到 `name` (commit b0e6654)
+- **验证**: `cargo test -p zclaw-saas --test smoke_saas -- s3` PASS
 
 ### P1-04: Admin V2 AuthGuard 竞态条件