Version: 0.9.66.dev.260504

后端：
1. 阶段 2 user/auth 服务边界落地，新增 `cmd/userauth` go-zero zrpc 服务、`services/userauth` 核心实现、gateway user API/zrpc client 与 shared contracts/ports，迁移注册、登录、刷新 token、登出、JWT、黑名单和 token 额度治理
2. gateway 与启动装配切流，`cmd/all` 只保留边缘路由、鉴权和轻量组合，通过 userauth zrpc 访问核心用户能力；拆分 MySQL/Redis 初始化与 AutoMigrate 边界，`userauth` 自迁 `users` 和 token 记账幂等表，`all` 不再迁用户表
3. 清退 Gin 单体旧 user/auth DAO、model、service、router、middleware 和 JWT handler，并同步调整 agent/schedule/cache/outbox 相关调用依赖
4. 补齐 refresh token 防并发重放、MySQL 幂等 token 记账、额度 `>=` 拦截和 RPC 错误映射，避免重复记账与内部错误透出

文档：
1. 新增《学习计划论坛与Token商店PRD》

backend/api/container.go

@@ -1,7 +1,6 @@
 package api
 
 type ApiHandlers struct {
-	UserHandler      *UserHandler
 	TaskHandler      *TaskHandler
 	CourseHandler    *CourseHandler
 	TaskClassHandler *TaskClassHandler

backend/api/user.go

@@ -1,103 +0,0 @@
-// Package api 定义API接口层
-// 包含所有对外暴露的HTTP接口定义
-package api
-
-import (
-	"context"
-	"net/http"
-	"time"
-
-	"github.com/LoveLosita/smartflow/backend/model"
-	"github.com/LoveLosita/smartflow/backend/respond"
-	"github.com/LoveLosita/smartflow/backend/service"
-	"github.com/gin-gonic/gin"
-)
-
-type UserHandler struct {
-	// 伸出手：准备接住 Service
-	svc *service.UserService
-}
-
-// NewUserHandler：组装 Handler 的“工厂”
-func NewUserHandler(svc *service.UserService) *UserHandler {
-	return &UserHandler{
-		svc: svc, // 把传进来的 Service 揣进口袋里
-	}
-}
-
-// UserRegister 用户注册API
-// 处理用户注册请求
-func (api *UserHandler) UserRegister(c *gin.Context) {
-	var user model.UserRegisterRequest
-	err := c.ShouldBindJSON(&user)
-	if err != nil {
-		c.JSON(http.StatusBadRequest, respond.WrongParamType)
-		return
-	}
-	// 创建一个带 1 秒超时的上下文
-	ctx, cancel := context.WithTimeout(c.Request.Context(), 1*time.Second)
-	defer cancel() // 记得释放资源
-	retUser, err := api.svc.UserRegister(ctx, user)
-	if err != nil {
-		respond.DealWithError(c, err)
-		return
-	}
-
-	c.JSON(http.StatusOK, respond.RespWithData(respond.Ok, retUser))
-}
-
-func (api *UserHandler) UserLogin(c *gin.Context) {
-	var req model.UserLoginRequest
-	err := c.ShouldBindJSON(&req)
-	if err != nil {
-		c.JSON(http.StatusOK, respond.WrongParamType)
-		return
-	}
-	// 创建一个带 1 秒超时的上下文
-	ctx, cancel := context.WithTimeout(c.Request.Context(), 1*time.Second)
-	defer cancel() // 记得释放资源
-	tokens, err := api.svc.UserLogin(ctx, &req)
-	if err != nil {
-		respond.DealWithError(c, err)
-		return
-	}
-	c.JSON(http.StatusOK, respond.RespWithData(respond.Ok, tokens))
-}
-
-func (api *UserHandler) RefreshTokenHandler(c *gin.Context) {
-	var requestBody struct {
-		RefreshToken string `json:"old_refresh_token"`
-	}
-	if err := c.ShouldBindJSON(&requestBody); err != nil {
-		c.JSON(http.StatusBadRequest, respond.WrongParamType)
-		return
-	}
-	if requestBody.RefreshToken == "" {
-		c.JSON(http.StatusBadRequest, respond.MissingParam)
-	}
-	// 创建一个带 1 秒超时的上下文
-	ctx, cancel := context.WithTimeout(c.Request.Context(), 1*time.Second)
-	defer cancel() // 记得释放资源
-	tokens, err := api.svc.RefreshTokenHandler(ctx, requestBody.RefreshToken)
-	if err != nil {
-		respond.DealWithError(c, err)
-		return
-	}
-	c.JSON(http.StatusOK, respond.RespWithData(respond.Ok, tokens))
-}
-
-func (api *UserHandler) UserLogout(c *gin.Context) {
-	//1.从上下文中获取 jti 和 expireTime
-	claims, _ := c.Get("claims")
-	cl := claims.(*model.MyCustomClaims)
-	//2.调用 Service 层的 UserLogout 方法
-	// 创建一个带 1 秒超时的上下文
-	ctx, cancel := context.WithTimeout(c.Request.Context(), 1*time.Second)
-	defer cancel() // 记得释放资源
-	err := api.svc.UserLogout(ctx, cl.Jti, cl.ExpiresAt.Time)
-	if err != nil {
-		respond.DealWithError(c, err)
-		return
-	}
-	c.JSON(http.StatusOK, respond.Ok)
-}