Version: 0.9.66.dev.260504

后端：
1. 阶段 2 user/auth 服务边界落地，新增 `cmd/userauth` go-zero zrpc 服务、`services/userauth` 核心实现、gateway user API/zrpc client 与 shared contracts/ports，迁移注册、登录、刷新 token、登出、JWT、黑名单和 token 额度治理
2. gateway 与启动装配切流，`cmd/all` 只保留边缘路由、鉴权和轻量组合，通过 userauth zrpc 访问核心用户能力；拆分 MySQL/Redis 初始化与 AutoMigrate 边界，`userauth` 自迁 `users` 和 token 记账幂等表，`all` 不再迁用户表
3. 清退 Gin 单体旧 user/auth DAO、model、service、router、middleware 和 JWT handler，并同步调整 agent/schedule/cache/outbox 相关调用依赖
4. 补齐 refresh token 防并发重放、MySQL 幂等 token 记账、额度 `>=` 拦截和 RPC 错误映射，避免重复记账与内部错误透出

文档：
1. 新增《学习计划论坛与Token商店PRD》

backend/inits/mysql.go

@@ -11,9 +11,14 @@ import (
 	"gorm.io/gorm"
 )
 
-func autoMigrateModels(db *gorm.DB) error {
+// autoMigrateCoreModels 只迁移仍留在当前单体进程内的业务表。
+//
+// 职责边界：
+// 1. 负责 agent / task / schedule / memory / notification 等尚未独立拆出的表；
+// 2. 不负责 users、JWT、黑名单、token 额度等 user/auth 领域表；
+// 3. user/auth 表由 cmd/userauth 进程在自己的 DAO 初始化阶段迁移，避免 all 启动时跨服务碰核心用户表。
+func autoMigrateCoreModels(db *gorm.DB) error {
 	models := []any{
-		&model.User{},
 		&model.AgentChat{},
 		&model.ChatHistory{},
 		&model.AgentTimelineEvent{},
@@ -92,7 +97,13 @@ func backfillAutoMigrateData(db *gorm.DB) error {
 	return nil
 }
 
-func ConnectDB() (*gorm.DB, error) {
+// OpenDBFromConfig 只按配置创建 MySQL 连接，不执行任何自动迁移。
+//
+// 职责边界：
+// 1. 负责把 viper 中的 database 配置转换成 *gorm.DB；
+// 2. 不负责选择要迁移哪些模型，迁移入口必须由具体服务显式调用；
+// 3. 调用方负责决定这是单体残留域、user/auth 还是后续新服务的连接。
+func OpenDBFromConfig() (*gorm.DB, error) {
 	host := viper.GetString("database.host")
 	port := viper.GetString("database.port")
 	user := viper.GetString("database.user")
@@ -108,8 +119,35 @@ func ConnectDB() (*gorm.DB, error) {
 	if err != nil {
 		return nil, err
 	}
+	return db, nil
+}
 
-	if err = autoMigrateModels(db); err != nil {
+// AutoMigrateCoreStorage 执行当前单体残留域拥有的 schema 初始化。
+//
+// 职责边界：
+// 1. 只迁移当前 all/api/worker 仍直接拥有的表和这些域的 outbox 表；
+// 2. 不迁移 userauth.User，避免 gateway/all 在阶段 2 之后继续直接管理用户核心表；
+// 3. 回填逻辑仍保留在当前域内，因为 schedule_events 仍属于单体残留域。
+func AutoMigrateCoreStorage(db *gorm.DB) error {
+	if err := autoMigrateCoreModels(db); err != nil {
+		return err
+	}
+	return nil
+}
+
+// ConnectCoreDB 创建当前单体残留域的 MySQL 连接，并执行该域自己的迁移。
+//
+// 迁移期约束：
+// 1. all/api/worker 仍需要这条入口来承载尚未拆出的业务域；
+// 2. 已拆出的 user/auth 不再通过这里迁移；
+// 3. 后续每拆出一个服务，就从 autoMigrateCoreModels 中移走对应模型。
+func ConnectCoreDB() (*gorm.DB, error) {
+	db, err := OpenDBFromConfig()
+	if err != nil {
+		return nil, err
+	}
+
+	if err = AutoMigrateCoreStorage(db); err != nil {
 		return nil, err
 	}
 
@@ -117,3 +155,8 @@ func ConnectDB() (*gorm.DB, error) {
 	log.Println("Database auto migration completed")
 	return db, nil
 }
+
+// ConnectDB 保留历史兼容入口，新的装配代码应优先调用 ConnectCoreDB。
+func ConnectDB() (*gorm.DB, error) {
+	return ConnectCoreDB()
+}

backend/inits/redis.go

@@ -8,14 +8,33 @@ import (
 	"github.com/spf13/viper"
 )
 
-func InitRedis() *redis.Client {
+// OpenRedisFromConfig 只创建 Redis client 并做连通性校验。
+//
+// 职责边界：
+// 1. 负责当前调用方声明需要 Redis 时的连接初始化；
+// 2. 不承载 user/auth 黑名单、token 额度等业务语义，那些语义已经收进 userauth 服务；
+// 3. 返回 error 给服务入口统一处理，避免基础设施包直接 log.Fatal 终止进程。
+func OpenRedisFromConfig() (*redis.Client, error) {
 	rdb := redis.NewClient(&redis.Options{
 		Addr:     viper.GetString("redis.host") + ":" + viper.GetString("redis.port"),
 		Password: viper.GetString("redis.password"),
 		DB:       0,
 	})
-	// 检查连接是否通畅
 	if _, err := rdb.Ping(context.Background()).Result(); err != nil {
+		return nil, err
+	}
+	return rdb, nil
+}
+
+// InitCoreRedis 初始化当前单体残留域使用的 Redis 连接。
+func InitCoreRedis() (*redis.Client, error) {
+	return OpenRedisFromConfig()
+}
+
+// InitRedis 保留历史兼容入口，新的装配代码应优先使用 InitCoreRedis。
+func InitRedis() *redis.Client {
+	rdb, err := InitCoreRedis()
+	if err != nil {
 		log.Fatalf("Redis 连接失败: %v", err)
 	}
 	return rdb