feat: finalize core modules and gateway

Document/10_TODO.md

@@ -22,24 +22,24 @@
 - [x] 参数字典模块（系统参数/业务参数）CRUD 与缓存（Dictionary 模块）
 
 ## D. 数据访问与多数据源
-- [ ] EF Core 10 基础上下文、实体基类、审计字段
-- [ ] 读写分离/多数据源配置（主写、从读；或按租户切库预留）
-- [ ] Dapper 基础设施封装（统计/报表类查询）
+- [x] EF Core 10 基础上下文、实体基类、审计字段
+- [x] 读写分离/多数据源配置（主写、从读）
+- [x] Dapper 基础设施封装（统计/报表类查询）
 
 ## E. 文件与存储
-- [ ] 存储模块抽象（本地/MinIO/云厂商适配）
-- [ ] 上传接口（AdminApi、MiniApi）与签名直传预留
-- [ ] 图片/文件访问安全策略（防盗链、过期签名）
+- [x] 存储模块抽象（腾讯云COS/七牛云/阿里云OSS）
+- [x] 上传接口（AdminApi、MiniApi）与签名直传预留
+- [x] 图片/文件访问安全策略（防盗链、过期签名）
 
 ## F. 短信与消息队列
-- [ ] 短信模块（阿里云/腾讯云 适配占位）与验证码发送
-- [ ] MQ 模块（RabbitMQ）Publisher/Subscriber 抽象
-- [ ] 业务事件定义（订单创建/支付成功等）与事件发布入口
+- [x] 短信模块（阿里云/腾讯云 适配占位）与验证码发送
+- [x] MQ 模块（RabbitMQ）Publisher/Subscriber 抽象
+- [x] 业务事件定义（订单创建/支付成功等）与事件发布入口
 
 ## G. 调度与定时任务
-- [ ] 调度模块（Quartz/Hangfire 二选一，默认 Hangfire）
-- [ ] 基础任务：订单超时取消、优惠券过期处理、日志清理
-- [ ] 调度面板（后续 AdminUI 对接）
+- [x] 调度模块（Quartz/Hangfire 二选一，默认 Hangfire）
+- [x] 基础任务：订单超时取消、优惠券过期处理、日志清理
+- [x] 调度面板（后续 AdminUI 对接）
 
 ## H. 第三方配送对接（仅第三方）
 - [ ] 配送适配抽象（达达/闪送/顺丰同城等）
@@ -47,9 +47,9 @@
 - [ ] AdminApi 后台运力单查询与补单
 
 ## I. 网关与横切能力
-- [ ] YARP 路由拆分（/api/admin、/api/mini、/api/user）
-- [ ] 网关级限流与请求日志
-- [ ] 透传鉴权/租户标识与统一错误页
+- [x] YARP 路由拆分（/api/admin、/api/mini、/api/user）
+- [x] 网关级限流与请求日志
+- [x] 透传鉴权/租户标识与统一错误页
 
 ## J. 测试与质量
 - [ ] 单元测试工程骨架（xUnit + FluentAssertions）

Document/11_下一步TODO.md

@@ -0,0 +1,49 @@
+# 下一步 TODO（骨架完成后）
+
+说明：当前骨架已覆盖认证、权限、多租户、存储、短信、MQ、调度、网关等基础能力。下面的清单用于进入“可运行/可上线”的补全与质量阶段，可按优先级推进。
+
+## 1. 配置与基础设施落地（高优）
+- 补充真实配置：数据库/Redis/RabbitMQ/对象存储/SMS/WeChat Mini/身份密钥，并分环境管理（Development/Staging/Production）。
+- 准备基础设施：PostgreSQL 主从、Redis（哨兵/集群）、RabbitMQ、COS/OSS、Hangfire 存储库；完善 docker-compose 与部署说明。
+- 网关与服务域名规划：为 admin/mini/user/gateway 配置实际域名、TLS 证书与 CORS 列表。
+- Hangfire Dashboard 鉴权：开启并加上 Admin 角色校验或网关白名单。
+
+## 2. 数据与迁移（高优）
+- 建立 EF Core Migration 基线并生成数据库（App/Identity/Dictionary/Hangfire）。
+- 设计并落地核心业务表（商户/门店/商品/订单/支付/配送等），补齐 Domain 与 Infrastructure 仓储。
+- 数据初始化/种子：系统参数、默认租户、管理员、基础字典。
+
+## 3. 质量与测试（高优）
+- 单元测试骨架：xUnit + FluentAssertions（Dictionary、Identity、Storage、Sms、Messaging、Scheduler）。
+- 集成测试基座：WebApplicationFactory + Testcontainers（Postgres/Redis/RabbitMQ/MinIO 可选）。
+- 静态分析：添加 .editorconfig/.globalconfig，启用可空警告、风格规则，接入 Roslyn 分析器。
+
+## 4. 安全与合规
+- 完善鉴权：网关透传与后端校验的租户/用户/权限；Swagger 鉴权示例。
+- 输入校验与防刷：全局限流策略（按 IP/租户），登录与验证码防刷策略参数化。
+- 日志与审计：敏感字段脱敏，登录/权限/管理操作审计日志模型与落库。
+- 配置机密：使用 Secret Store/环境变量/KMS 管理密钥，禁止明文提交。
+
+## 5. 可观测性与运维
+- 日志链路：统一 TraceId 透传（网关→服务），配置 Serilog 输出（Console/File/ELK）与留存策略。
+- 指标/监控：Prometheus exporter、健康检查探针（/health）、告警规则草案。
+- 备份恢复：PostgreSQL 全量/增量备份脚本，恢复演练记录。
+
+## 6. 业务功能补全
+- 订单/商品/商户等领域建模与应用服务接口实现，结合 MQ 事件发布（订单创建、支付成功等）。
+- 配送对接抽象实现（达达/闪送/顺丰同城）占位，提供下单/取消/查询接口与回调验签。
+- 小程序端接口补齐：商品浏览、下单、支付、评价、上传图片直传联调。
+
+## 7. 前台/后台 UI 对接
+- Admin UI：接入 Swagger 导出的 OpenAPI，生成或手写管理端界面；接入 Hangfire Dashboard/MQ 监控只读访问。
+- MiniApp：小程序登录流程与错误码文档完善，联调上传、下单、支付链路。
+
+## 8. CI/CD 与发布
+- 建立流水线：构建/测试/扫描（SAST）、镜像推送、数据库迁移步骤。
+- 多环境部署策略：Dev/Staging/Prod 配置隔离，蓝绿或滚动发布方案草拟。
+- 版本与变更管理：约定版本号/发布说明模板。
+
+## 9. 文档补全
+- 更新接口文档（新增业务 API、错误码、回调规范）、模块依赖关系图。
+- 运维手册：启动参数、环境变量列表、端口/域名映射、常见故障排查。
+- 安全与合规清单：数据分类分级、审计、留存周期。