refactor: RBAC权限系统重构 + UI组件拆分 + 测试修复 + 架构文档

- RBAC: 新增30个权限点、DataScope行级权限、requirePermission守卫，所有57+ Server Action接入权限校验
- UI拆分: exam-form(1623行→11文件)、textbook-reader(744行→7文件)，均降至300行以内
- 测试: 新增5个单元测试文件(19用例)，修复4个集成测试文件(38用例全部通过)
- 架构文档: 新增架构影响地图(004/005)、标准功能清单(006)、差距审计报告(007)
- 项目规则: 架构图优先规则，改码必同步图
- 安全: rehype-sanitize净化、AES加密API Key、权限路由守卫
- 无障碍: skip-link、aria-label、prefers-reduced-motion
- 性能: next/font优化、next/image、代码分割

.trae/rules/project_rules.md

@@ -0,0 +1,41 @@
+# 项目规则
+
+## 架构图优先规则
+
+**任何任务开始前，必须先查阅架构影响地图，通过图定位代码和模块。**
+
+1. **先图后码**：执行任何分析、修改、搜索任务时，首先阅读 `docs/architecture/004_architecture_impact_map.md` 或 `docs/architecture/005_architecture_data.json`，从图中定位目标模块、函数、依赖关系，再按图索骥读取源码
+2. **图未覆盖则先补图**：如果发现项目中存在架构图未记录的模块、函数、表、路由等，**必须优先完善架构图信息**，然后再继续后续工作
+3. **改码必同步图**：对源码的任何修改完成后，必须同步更新 004 和 005 两个架构文档
+
+### 架构文档清单
+
+| 文档 | 用途 |
+|------|------|
+| `docs/architecture/004_architecture_impact_map.md` | 人类可读的架构影响地图 |
+| `docs/architecture/005_architecture_data.json` | AI 友好格式的结构化数据 |
+| `docs/architecture/006_k12_feature_checklist.md` | 标准功能模块清单 |
+| `docs/architecture/007_gap_audit_report.md` | 差距审计报告 |
+
+### 需要同步图的场景
+
+- 新增/删除/重命名导出函数、组件、Hook、类型
+- 修改函数签名（参数、返回类型）
+- 修改权限点（Permissions 常量）或角色-权限映射
+- 新增/删除数据库表
+- 新增/删除路由页面或 API 路由
+- 修改模块间依赖关系
+- 新增模块
+
+### 同步方式
+
+- 修改 Markdown 文档中对应的模块章节
+- 修改 JSON 文档中对应的节点（`modules.*.exports`、`permissions`、`dependencyMatrix`、`routes`、`dbTables` 等）
+- 确保两个文档内容一致
+
+## 代码质量规则
+
+- 每次修改后运行 `npm run lint` 和 `npx tsc --noEmit` 确保零错误
+- Server Action 必须使用 `requirePermission()` 进行权限校验
+- 前端组件禁止使用 `role === "xxx"` 硬编码，统一使用 `usePermission().hasPermission()`
+- 单文件不超过 300 行