feat(saas): P2 增强 — TOTP 2FA、Relay 重试、配置同步升级

- TOTP 2FA: totp-rs v5.7.1 + data-encoding Base32, setup/verify/disable 流程,
  登录时 TOTP 验证集成, SaasError::Totp 返回 400
- Relay 重试: 指数退避 (base_delay_ms * 2^attempt), 错误分类 (4xx 不重试),
  Admin POST /tasks/:id/retry 端点
- 配置同步: push (客户端覆盖) / merge (SaaS 优先) / diff (只读对比),
  实际写入 config_items 表
- 集成测试: 27 个测试全部通过 (新增 6 个 P2 测试)
- 文档: 更新 SaaS 平台总览 (模块完成度 + API 端点列表)

crates/zclaw-saas/src/auth/mod.rs

@@ -4,6 +4,7 @@ pub mod jwt;
 pub mod password;
 pub mod types;
 pub mod handlers;
+pub mod totp;
 
 use axum::{
     extract::{Request, State},
@@ -162,4 +163,7 @@ pub fn protected_routes() -> axum::Router<AppState> {
         .route("/api/v1/auth/refresh", post(handlers::refresh))
         .route("/api/v1/auth/me", get(handlers::me))
         .route("/api/v1/auth/password", put(handlers::change_password))
+        .route("/api/v1/auth/totp/setup", post(totp::setup_totp))
+        .route("/api/v1/auth/totp/verify", post(totp::verify_totp))
+        .route("/api/v1/auth/totp/disable", post(totp::disable_totp))
 }