feat(saas): Phase 1 后端能力补强 — API Token 认证、真实 SSE 流式、速率限制

Phase 1.1: API Token 认证中间件
- auth_middleware 新增 zclaw_ 前缀 token 分支 (SHA-256 验证)
- 合并 token 自身权限与角色权限，异步更新 last_used_at
- 添加 GET /api/v1/auth/me 端点返回当前用户信息
- get_role_permissions 改为 pub(crate) 供中间件调用

Phase 1.2: 真实 SSE 流式中转
- RelayResponse::Sse 改为 axum::body::Body (bytes_stream)
- 流式请求超时提升至 300s，转发 SSE headers (Cache-Control, Connection)
- 添加 futures 依赖用于 StreamExt

Phase 1.3: 滑动窗口速率限制中间件
- 按 account_id 做 per-minute 限流 (默认 60 rpm + 10 burst)
- 超限返回 429 + Retry-After header
- RateLimitConfig 支持配置化，DashMap 存储时间戳

21 tests passed, zero warnings.

crates/zclaw-saas/src/config.rs

@@ -11,6 +11,8 @@ pub struct SaaSConfig {
     pub database: DatabaseConfig,
     pub auth: AuthConfig,
     pub relay: RelayConfig,
+    #[serde(default)]
+    pub rate_limit: RateLimitConfig,
 }
 
 /// 服务器配置
@@ -66,6 +68,29 @@ fn default_batch_window() -> u64 { 50 }
 fn default_retry_delay() -> u64 { 1000 }
 fn default_max_attempts() -> u32 { 3 }
 
+/// 速率限制配置
+#[derive(Debug, Clone, Serialize, Deserialize)]
+pub struct RateLimitConfig {
+    /// 每分钟最大请求数 (滑动窗口)
+    #[serde(default = "default_rpm")]
+    pub requests_per_minute: u32,
+    /// 突发允许的额外请求数
+    #[serde(default = "default_burst")]
+    pub burst: u32,
+}
+
+fn default_rpm() -> u32 { 60 }
+fn default_burst() -> u32 { 10 }
+
+impl Default for RateLimitConfig {
+    fn default() -> Self {
+        Self {
+            requests_per_minute: default_rpm(),
+            burst: default_burst(),
+        }
+    }
+}
+
 impl Default for SaaSConfig {
     fn default() -> Self {
         Self {
@@ -73,6 +98,7 @@ impl Default for SaaSConfig {
             database: DatabaseConfig::default(),
             auth: AuthConfig::default(),
             relay: RelayConfig::default(),
+            rate_limit: RateLimitConfig::default(),
         }
     }
 }