feat(auth): 添加异步密码哈希和验证函数

refactor(relay): 复用HTTP客户端和请求体序列化结果

feat(kernel): 添加获取单个审批记录的方法

fix(store): 改进SaaS连接错误分类和降级处理

docs: 更新审计文档和系统架构文档

refactor(prompt): 优化SQL查询参数化绑定

refactor(migration): 使用静态SQL和COALESCE更新配置项

feat(commands): 添加审批执行状态追踪和事件通知

chore: 更新启动脚本以支持Admin后台

fix(auth-guard): 优化授权状态管理和错误处理

refactor(db): 使用异步密码哈希函数

refactor(totp): 使用异步密码验证函数

style: 清理无用文件和注释

docs: 更新功能全景和审计文档

refactor(service): 优化HTTP客户端重用和请求处理

fix(connection): 改进SaaS不可用时的降级处理

refactor(handlers): 使用异步密码验证函数

chore: 更新依赖和工具链配置

crates/zclaw-saas/src/auth/handlers.rs

@@ -8,7 +8,7 @@ use crate::error::{SaasError, SaasResult};
 use crate::models::{AccountAuthRow, AccountLoginRow};
 use super::{
     jwt::{create_token, create_refresh_token, verify_token, verify_token_skip_expiry},
-    password::{hash_password, verify_password},
+    password::{hash_password_async, verify_password_async},
     types::{AuthContext, LoginRequest, LoginResponse, RegisterRequest, ChangePasswordRequest, AccountPublic, RefreshRequest},
 };
 
@@ -25,7 +25,8 @@ pub async fn register(
     if req.username.len() > 32 {
         return Err(SaasError::InvalidInput("用户名最多 32 个字符".into()));
     }
-    let username_re = regex::Regex::new(r"^[a-zA-Z0-9_-]+$").unwrap();
+    static USERNAME_RE: std::sync::OnceLock<regex::Regex> = std::sync::OnceLock::new();
+    let username_re = USERNAME_RE.get_or_init(|| regex::Regex::new(r"^[a-zA-Z0-9_-]+$").unwrap());
     if !username_re.is_match(&req.username) {
         return Err(SaasError::InvalidInput("用户名只能包含字母、数字、下划线和连字符".into()));
     }
@@ -56,7 +57,7 @@ pub async fn register(
         return Err(SaasError::AlreadyExists("用户名或邮箱已存在".into()));
     }
 
-    let password_hash = hash_password(&req.password)?;
+    let password_hash = hash_password_async(req.password.clone()).await?;
     let account_id = uuid::Uuid::new_v4().to_string();
     let role = "user".to_string(); // 注册固定为普通用户，角色由管理员分配
     let display_name = req.display_name.unwrap_or_default();
@@ -138,7 +139,7 @@ pub async fn login(
         return Err(SaasError::Forbidden(format!("账号已{}，请联系管理员", r.status)));
     }
 
-    if !verify_password(&req.password, &r.password_hash)? {
+    if !verify_password_async(req.password.clone(), r.password_hash.clone()).await? {
         return Err(SaasError::AuthError("用户名或密码错误".into()));
     }
 
@@ -328,12 +329,12 @@ pub async fn change_password(
     .await?;
 
     // 验证旧密码
-    if !verify_password(&req.old_password, &password_hash)? {
+    if !verify_password_async(req.old_password.clone(), password_hash.clone()).await? {
         return Err(SaasError::AuthError("旧密码错误".into()));
     }
 
     // 更新密码
-    let new_hash = hash_password(&req.new_password)?;
+    let new_hash = hash_password_async(req.new_password.clone()).await?;
     let now = chrono::Utc::now().to_rfc3339();
     sqlx::query("UPDATE accounts SET password_hash = $1, updated_at = $2 WHERE id = $3")
         .bind(&new_hash)