feat(saas): P2 增强 — TOTP 2FA、Relay 重试、配置同步升级

- TOTP 2FA: totp-rs v5.7.1 + data-encoding Base32, setup/verify/disable 流程,
  登录时 TOTP 验证集成, SaasError::Totp 返回 400
- Relay 重试: 指数退避 (base_delay_ms * 2^attempt), 错误分类 (4xx 不重试),
  Admin POST /tasks/:id/retry 端点
- 配置同步: push (客户端覆盖) / merge (SaaS 优先) / diff (只读对比),
  实际写入 config_items 表
- 集成测试: 27 个测试全部通过 (新增 6 个 P2 测试)
- 文档: 更新 SaaS 平台总览 (模块完成度 + API 端点列表)

crates/zclaw-saas/src/auth/handlers.rs

@@ -104,6 +104,27 @@ pub async fn login(
         return Err(SaasError::AuthError("用户名或密码错误".into()));
     }
 
+    // TOTP 验证: 如果用户已启用 2FA，必须提供有效 TOTP 码
+    if totp_enabled {
+        let code = req.totp_code.as_deref()
+            .ok_or_else(|| SaasError::Totp("此账号已启用双因素认证，请提供 TOTP 码".into()))?;
+
+        let (totp_secret,): (Option<String>,) = sqlx::query_as(
+            "SELECT totp_secret FROM accounts WHERE id = ?1"
+        )
+        .bind(&id)
+        .fetch_one(&state.db)
+        .await?;
+
+        let secret = totp_secret.ok_or_else(|| {
+            SaasError::Internal("TOTP 已启用但密钥丢失，请联系管理员".into())
+        })?;
+
+        if !super::totp::verify_totp_code(&secret, code) {
+            return Err(SaasError::Totp("TOTP 码错误或已过期".into()));
+        }
+    }
+
     let permissions = get_role_permissions(&state.db, &role).await?;
     let config = state.config.read().await;
     let token = create_token(