refactor: 认证系统重构 + DevTools CLI 重写 + 文档全面更新

- auth: Login 简化为管理员始终通过 .env 验证，GetProfile 修正 admin DB 查询
- devtools: .sh/.bat 同步重写为完整 CLI (start/stop/status/logs/build/db:*)
- docs: 新增 devtools.md，重写 Deploy.md (三种方式+Windows说明)，更新 README/gateway-api
- voice-service: DashScope 实时流式 STT 支持
- gateway: Phase 6 多模型配置 + 多端客户端管理 + WebSocket 增强

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

backend/gateway/internal/handler/auth_handler.go

@@ -3,7 +3,6 @@ package handler
 import (
 	"database/sql"
 	"fmt"
-	"github.com/yourname/cyrene-ai/pkg/logger"
 	"net/http"
 	"regexp"
 	"strings"
@@ -126,7 +125,9 @@ func (h *AuthHandler) Register(c *gin.Context) {
 	})
 }
 
-// Login 用户登录 (支持管理员账户和普通用户)
+// Login 用户登录
+// 管理员始终通过 .env 配置验证，不受数据库状态影响
+// 普通用户通过数据库 bcrypt 密码哈希验证
 func (h *AuthHandler) Login(c *gin.Context) {
 	var req struct {
 		Username string `json:"username" binding:"required"`
@@ -138,7 +139,6 @@ func (h *AuthHandler) Login(c *gin.Context) {
 		return
 	}
 
-	// 用户名格式校验：仅允许字母、数字、下划线，长度 3-32
 	if !usernameRegex.MatchString(req.Username) {
 		c.JSON(http.StatusBadRequest, gin.H{"error": "用户名格式无效"})
 		return
@@ -147,56 +147,36 @@ func (h *AuthHandler) Login(c *gin.Context) {
 	var userID string
 	var nickname string
 
-	// 尝试从 users 表查询用户
-	authenticated, err := h.verifyUserPassword(req.Username, req.Password)
-	if err != nil {
-		c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
-		return
-	}
-
-	if authenticated {
-		// 用户存在于 users 表中且密码验证通过
-		if req.Username == h.cfg.AdminUsername {
-			userID = "admin"
-		} else {
-			userID = "user_" + req.Username
+	// 管理员：始终通过 .env 配置验证，不依赖数据库
+	if req.Username == h.cfg.AdminUsername && req.Password == h.cfg.AdminPassword {
+		userID = "admin"
+		nickname = h.cfg.AdminNickname
+		if nickname == "" {
+			nickname = "管理员"
 		}
-		// 获取用户昵称
+		// 数据库可用时从 DB 获取昵称（覆盖配置默认值）
 		if h.db != nil {
 			if u, err := store.GetUserByUsername(h.db, req.Username); err == nil && u != nil {
 				nickname = u.Nickname
 			}
 		}
-	} else if req.Username == h.cfg.AdminUsername && h.db != nil {
-		// 管理员用户尚未迁移到 users 表，尝试用配置中的密码验证
-		if req.Password != h.cfg.AdminPassword {
+	} else {
+		// 普通用户：数据库 bcrypt 验证
+		authenticated, err := h.verifyUserPassword(req.Username, req.Password)
+		if err != nil {
+			c.JSON(http.StatusInternalServerError, gin.H{"error": "服务器内部错误"})
+			return
+		}
+		if !authenticated {
 			c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
 			return
 		}
-		// 密码正确，迁移 admin 到 users 表
-		passwordHash, err := bcrypt.GenerateFromPassword([]byte(req.Password), bcrypt.DefaultCost)
-		if err != nil {
-			logger.Printf("⚠ 迁移管理员密码哈希失败: %v", err)
-		} else {
-			if _, err := store.CreateUser(h.db, req.Username, "管理员", string(passwordHash), true); err != nil {
-				logger.Printf("⚠ 迁移管理员到 users 表失败: %v", err)
-			} else {
-				logger.Println("✅ 管理员已迁移到 users 表")
+		userID = "user_" + req.Username
+		if h.db != nil {
+			if u, err := store.GetUserByUsername(h.db, req.Username); err == nil && u != nil {
+				nickname = u.Nickname
 			}
 		}
-		userID = "admin"
-		nickname = "管理员"
-	} else if req.Username == h.cfg.AdminUsername {
-		// 数据库不可用时的回退：使用配置中的管理员密码
-		if req.Password != h.cfg.AdminPassword {
-			c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
-			return
-		}
-		userID = "admin"
-		nickname = "管理员"
-	} else {
-		c.JSON(http.StatusUnauthorized, gin.H{"error": "用户名或密码错误"})
-		return
 	}
 
 	token, err := h.cfg.GenerateToken(userID)
@@ -205,7 +185,6 @@ func (h *AuthHandler) Login(c *gin.Context) {
 		return
 	}
 
-	// 生成 refresh_token (长期有效)
 	refreshToken, err := h.cfg.GenerateRefreshToken(userID)
 	if err != nil {
 		c.JSON(http.StatusInternalServerError, gin.H{"error": "生成刷新令牌失败"})
@@ -311,7 +290,7 @@ func (h *AuthHandler) GetProfile(c *gin.Context) {
 	var nickname string
 
 	if isAdmin {
-		username = "admin"
+		username = h.cfg.AdminUsername
 	} else if strings.HasPrefix(userID, "user_") {
 		username = strings.TrimPrefix(userID, "user_")
 	} else {