fix(security): 修复 P0 安全漏洞 (Session越权+CORS白名单+用户名枚举)

backend/gateway/internal/handler/auth_handler.go

@@ -153,7 +153,7 @@ func (h *AuthHandler) Login(c *gin.Context) {
 	} else if req.Username == h.cfg.AdminUsername && h.db != nil {
 		// 管理员用户尚未迁移到 users 表，尝试用配置中的密码验证
 		if req.Password != h.cfg.AdminPassword {
-			c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
+			c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
 			return
 		}
 		// 密码正确，迁移 admin 到 users 表
@@ -171,7 +171,7 @@ func (h *AuthHandler) Login(c *gin.Context) {
 	} else if req.Username == h.cfg.AdminUsername {
 		// 数据库不可用时的回退：使用配置中的管理员密码
 		if req.Password != h.cfg.AdminPassword {
-			c.JSON(http.StatusUnauthorized, gin.H{"error": "管理员密码错误"})
+			c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
 			return
 		}
 		userID = "admin"