feat: 新增管理后台前端项目及安全加固

refactor(saas): 重构认证中间件与限流策略
- 登录限流调整为5次/分钟/IP
- 注册限流调整为3次/小时/IP
- GET请求不计入限流

fix(saas): 修复调度器时间戳处理
- 使用NOW()替代文本时间戳
- 兼容TEXT和TIMESTAMPTZ列类型

feat(saas): 实现环境变量插值
- 支持${ENV_VAR}语法解析
- 数据库密码支持环境变量注入

chore: 新增前端管理界面
- 基于React+Ant Design Pro
- 包含路由守卫/错误边界
- 对接58个API端点

docs: 更新安全加固文档
- 新增密钥管理规范
- 记录P0安全项审计结果
- 补充TLS终止说明

test: 完善配置解析单元测试
- 新增环境变量插值测试用例

crates/zclaw-saas/tests/common/mod.rs

@@ -22,10 +22,12 @@ use axum::http::{Request, StatusCode};
 use axum::Router;
 use sqlx::PgPool;
 use std::sync::atomic::{AtomicBool, Ordering};
+use tokio_util::sync::CancellationToken;
 use tower::ServiceExt;
 use zclaw_saas::config::SaaSConfig;
 use zclaw_saas::db::init_db;
 use zclaw_saas::state::AppState;
+use zclaw_saas::workers::WorkerDispatcher;
 
 pub const MAX_BODY: usize = 2 * 1024 * 1024;
 pub const DEFAULT_PASSWORD: &str = "testpassword123";
@@ -129,7 +131,9 @@ pub async fn build_test_app() -> (Router, PgPool) {
     config.rate_limit.requests_per_minute = 10_000;
     config.rate_limit.burst = 1_000;
 
-    let state = AppState::new(pool.clone(), config).expect("AppState::new failed");
+    let dispatcher = WorkerDispatcher::new(pool.clone());
+    let shutdown_token = CancellationToken::new();
+    let state = AppState::new(pool.clone(), config, dispatcher, shutdown_token).expect("AppState::new failed");
     let router = build_router(state);
     (router, pool)
 }