docs: 全文档合规检查与修正 - 代码示例规范/行数准确性/路径一致性/状态同步

docs/architecture/004_architecture_impact_map.md

@@ -372,7 +372,7 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 - ❌ P0：`shared/lib/*` ↔ `@/auth` 循环依赖
 - ⚠️ P1：`schema.ts` 1111 行（54 张表混合，超 1000 硬上限）
 - ✅ P1：~~`auth.ts` 293 行混合 5 类职责~~ 已拆分（4 个辅助函数组迁移至 `shared/lib/{role-utils,bcrypt-utils,http-utils,password-security-service}`，auth.ts 仅保留 NextAuth 配置）
-- ✅ P2-2 已修复：~~`ai.ts` 218 行混合 5 类职责~~ 已拆分为 `ai/` 目录（payload-parser.ts/api-key-crypto.ts/provider-config.ts/client.ts/errors.ts/index.ts），原 `ai.ts` 保留为向后兼容的重导出文件（12 行）
+- ✅ P2-2 已修复：~~`ai.ts` 218 行混合 5 类职责~~ 已拆分为 `ai/` 目录（payload-parser.ts/api-key-crypto.ts/provider-config.ts/client.ts/errors.ts/index.ts），原 `ai.ts` 保留为向后兼容的重导出文件（9 行）
 - ⚠️ P2：`onboarding-gate.tsx` 业务逻辑泄漏到 shared
 
 **文件清单**：
@@ -383,29 +383,29 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 | `db/index.ts` | - | Drizzle 客户端 |
 | `lib/auth-guard.ts` | - | 认证上下文 + 权限校验 + DataScope |
 | `lib/permissions.ts` | - | 角色-权限映射 |
-| `lib/ai.ts` | 12 | 向后兼容重导出（P2-2 已拆分到 `ai/` 目录） |
-| `lib/ai/payload-parser.ts` | 96 | 请求负载解析 |
-| `lib/ai/api-key-crypto.ts` | 34 | API Key 加密/解密 |
-| `lib/ai/provider-config.ts` | 66 | Provider 配置查询 |
-| `lib/ai/client.ts` | 67 | AI 客户端创建与调用 |
-| `lib/ai/errors.ts` | 9 | 错误格式化 |
-| `lib/ai/index.ts` | 7 | 聚合导出 |
+| `lib/ai.ts` | 9 | 向后兼容重导出（P2-2 已拆分到 `ai/` 目录） |
+| `lib/ai/payload-parser.ts` | 78 | 请求负载解析 |
+| `lib/ai/api-key-crypto.ts` | 28 | API Key 加密/解密 |
+| `lib/ai/provider-config.ts` | 61 | Provider 配置查询 |
+| `lib/ai/client.ts` | 58 | AI 客户端创建与调用 |
+| `lib/ai/errors.ts` | 8 | 错误格式化 |
+| `lib/ai/index.ts` | 5 | 聚合导出 |
 | `lib/audit-logger.ts` | - | 操作日志 |
 | `lib/change-logger.ts` | - | 数据变更日志 |
 | `lib/login-logger.ts` | - | 登录日志 |
 | `lib/password-policy.ts` | - | 密码策略纯函数 |
 | `lib/rate-limit.ts` | - | 内存滑动窗口限流 |
-| `lib/role-utils.ts` | 35 | 角色规范化纯函数（normalizeRole / resolvePrimaryRole） |
-| `lib/bcrypt-utils.ts` | 22 | bcrypt 哈希前缀规范化纯函数 |
-| `lib/http-utils.ts` | 30 | 请求头解析（resolveClientIp，server-only） |
-| `lib/password-security-service.ts` | 100 | 密码安全 DB 操作（账户锁定/失败登录追踪，server-only） |
+| `lib/role-utils.ts` | 31 | 角色规范化纯函数（normalizeRole / resolvePrimaryRole） |
+| `lib/bcrypt-utils.ts` | 18 | bcrypt 哈希前缀规范化纯函数 |
+| `lib/http-utils.ts` | 27 | 请求头解析（resolveClientIp，server-only） |
+| `lib/password-security-service.ts` | 84 | 密码安全 DB 操作（账户锁定/失败登录追踪，server-only） |
 | `lib/excel.ts` | - | Excel 导入导出 |
 | `lib/file-storage.ts` | - | 文件存储抽象 |
 | `hooks/use-permission.ts` | - | 客户端权限 Hook |
 | `components/ui/*` | 34 文件 | shadcn/ui 标准组件 |
 | `components/onboarding-gate.tsx` | 312 | 引导流程（业务泄漏） |
 | `components/global-search.tsx` | 221 | 全局搜索（业务泄漏） |
-| `types/permissions.ts` | 92 | 57 个权限点常量 |
+| `types/permissions.ts` | 92 | 54 个权限点常量 |
 
 ---
 
@@ -426,15 +426,15 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 - ❌ P0：`persistAiGeneratedExamDraft` 直接 insert 到 `questions` 表
 - ❌ P0：`getExams`/`getExamById` 直查 `classes` 表
 - ❌ P1：`getSubjectsAction`/`getGradesAction` 直查 `subjects`/`grades` 表（应属 school 模块）
-- ✅ P1-2 已修复：~~`actions.ts` 832 行（超 800 建议），多处直接 DB 操作~~ DB 操作已下沉到 data-access，actions.ts 现 766 行
-- ⚠️ P1：`ai-pipeline.ts` 912 行（超 800 建议），混合 4 类职责
+- ✅ P1-2 已修复：~~`actions.ts` 832 行（超 800 建议），多处直接 DB 操作~~ DB 操作已下沉到 data-access，actions.ts 现 691 行
+- ⚠️ P1：`ai-pipeline.ts` 857 行（超 800 建议），混合 4 类职责
 
 **文件清单**：
 | 文件 | 行数 | 职责 |
 |------|------|------|
-| `actions.ts` | 766 | 10 个 Server Action（P1-2 已修复，无直接 DB 操作） |
-| `ai-pipeline.ts` | 912 | AI 出题管线（超限） |
-| `data-access.ts` | 524 | 考试 CRUD（含 P1-2 新增 7 个写/查询函数） |
+| `actions.ts` | 691 | 10 个 Server Action（P1-2 已修复，无直接 DB 操作） |
+| `ai-pipeline.ts` | 857 | AI 出题管线（超限） |
+| `data-access.ts` | 471 | 考试 CRUD（含 P1-2 新增 7 个写/查询函数） |
 | `types.ts` | 31 | 类型定义 |
 | `hooks/use-exam-preview.ts` | 295 | 预览 Hook |
 | `components/*` | 18 文件 | 考试表单/组卷/预览组件 |
@@ -456,7 +456,7 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 - 被依赖：`dashboard`（通过 data-access，合理）、`parent`（通过 data-access，合理）、`classes`（❌ classes 反向直查 homework 表）
 
 **已知问题**：
-- ✅ P0 已解决：`data-access.ts` 已拆分至 596 行（原 1038 行超 1000 硬上限），统计函数迁移至 `stats-service.ts`
+- ✅ P0 已解决：`data-access.ts` 已拆分至 598 行（原 1038 行超 1000 硬上限），统计函数迁移至 `stats-service.ts`
 - ✅ P0 已解决：`getStudentDashboardGrades` 排名计算逻辑迁移至 `stats-service.ts`
 - ✅ P0 已解决：`getHomeworkAssignmentAnalytics` 错误率统计逻辑迁移至 `stats-service.ts`
 - ❌ P1：5 处直查 `exams` 表
@@ -465,9 +465,9 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 **文件清单**：
 | 文件 | 行数 | 职责 |
 |------|------|------|
-| `data-access.ts` | 596 | 作业 CRUD + 学生视角 + 批改（含 re-export stats 函数） |
+| `data-access.ts` | 598 | 作业 CRUD + 学生视角 + 批改（含 re-export stats 函数） |
 | `data-access-write.ts` | 285 | 作业写操作（P1-2 新增，10 个写函数从 actions 下沉） |
-| `stats-service.ts` | 346 | 统计分析（教师趋势/作业分析/学生仪表盘成绩） |
+| `stats-service.ts` | 425 | 统计分析（教师趋势/作业分析/学生仪表盘成绩） |
 | `actions.ts` | 239 | 5 个 Server Action（P1-2 已修复，无直接 DB 操作） |
 | `types.ts` | 186 | 类型定义 |
 | `schema.ts` | 29 | Zod 校验 |
@@ -489,13 +489,13 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 **已知问题**：
 - ✅ P1-2 已修复：~~写操作函数错放在 `actions.ts`（`insertQuestionWithRelations` / `deleteQuestionRecursive`）~~ 已下沉到 data-access（`createQuestionWithRelations` / `updateQuestionById` / `deleteQuestionByIdRecursive` / `getKnowledgePointOptions`）
 - ❌ P1：`getKnowledgePointOptionsAction` 直查 textbooks 模块表
-- ✅ P2 已解决：~~`data-access.ts` 仅 129 行，写操作缺失~~ P1-2 后 data-access.ts 扩充至 299 行
+- ✅ P2 已解决：~~`data-access.ts` 仅 129 行，写操作缺失~~ P1-2 后 data-access.ts 扩充至 260 行
 
 **文件清单**：
 | 文件 | 行数 | 职责 |
 |------|------|------|
-| `actions.ts` | 177 | 5 个 Server Action（P1-2 已修复，无直接 DB 操作） |
-| `data-access.ts` | 299 | 题目 CRUD + 知识点选项（含 P1-2 新增 4 个写/查询函数） |
+| `actions.ts` | 149 | 5 个 Server Action（P1-2 已修复，无直接 DB 操作） |
+| `data-access.ts` | 260 | 题目 CRUD + 知识点选项（含 P1-2 新增 4 个写/查询函数） |
 | `schema.ts` | 18 | Zod 校验 |
 | `types.ts` | 34 | 类型定义 |
 
@@ -585,12 +585,12 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 **文件清单**：
 | 文件 | 行数 | 职责 |
 |------|------|------|
-| `data-access.ts` | 656 | 核心班级 CRUD + 邀请码 + 教师班级管理（含 re-export 向后兼容） |
-| `data-access-stats.ts` | 604 | 作业统计查询（班级/年级作业洞察） |
-| `data-access-schedule.ts` | 230 | 课表查询（学生/班级课表 CRUD） |
-| `data-access-students.ts` | 280 | 学生相关查询（科目成绩、学生名单、学生班级） |
-| `data-access-admin.ts` | 441 | 管理员班级管理（管理员班级 CRUD、年级管理班级查询） |
-| `actions.ts` | 765 | 9 个 Server Action（三组重复） |
+| `data-access.ts` | 548 | 核心班级 CRUD + 邀请码 + 教师班级管理（含 re-export 向后兼容） |
+| `data-access-stats.ts` | 531 | 作业统计查询（班级/年级作业洞察） |
+| `data-access-schedule.ts` | 194 | 课表查询（学生/班级课表 CRUD） |
+| `data-access-students.ts` | 244 | 学生相关查询（科目成绩、学生名单、学生班级） |
+| `data-access-admin.ts` | 406 | 管理员班级管理（管理员班级 CRUD、年级管理班级查询） |
+| `actions.ts` | 676 | 9 个 Server Action（三组重复） |
 | `types.ts` | 201 | 类型定义（含跨领域类型污染） |
 
 ---
@@ -699,16 +699,16 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 - ✅ P1 已解决：`import-export.ts` 四重职责已拆分为 `import-export.ts`（解析/生成）+ `user-service.ts`（用户创建）+ `class-registration.ts`（班级注册）
 - ✅ P1 已解决：`batchImportUsers` 不再跨模块直写 `classEnrollments`，改为调用 `classes/data-access.enrollStudentByInvitationCode`
 - ❌ P1：`updateUserProfile` 绕过 data-access 直接 DB 写
-- ⚠️ P2：`data-access.ts` 仅 71 行，写操作缺失
+- ⚠️ P2：`data-access.ts` 133 行，写操作仍缺失（updateUserProfile 绕过 data-access）
 
 **文件清单**：
 | 文件 | 行数 | 职责 |
 |------|------|------|
-| `import-export.ts` | 177 | 文件解析/生成（模板生成 + 解析校验 + Excel 导出）+ re-export 向后兼容 |
-| `user-service.ts` | 96 | 用户创建（批量导入 + 密码哈希 + 角色分配） |
-| `class-registration.ts` | 30 | 班级注册（委托 classes/data-access） |
-| `actions.ts` | 151 | 5 个 Server Action |
-| `data-access.ts` | 71 | 仅 getUserProfile |
+| `import-export.ts` | 157 | 文件解析/生成（模板生成 + 解析校验 + Excel 导出）+ re-export 向后兼容 |
+| `user-service.ts` | 82 | 用户创建（批量导入 + 密码哈希 + 角色分配） |
+| `class-registration.ts` | 21 | 班级注册（委托 classes/data-access） |
+| `actions.ts` | 131 | 5 个 Server Action |
+| `data-access.ts` | 133 | getUserProfile + 用户查询 |
 
 ---
 
@@ -845,8 +845,8 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 **文件清单**：
 | 文件 | 行数 | 职责 |
 |------|------|------|
-| `actions.ts` | 231 | 6 个 Server Action（P1-2 已修复，无直接 DB 操作） |
-| `data-access.ts` | 186 | 公告 CRUD + 发布/归档（含 P1-2 新增 5 个写函数） |
+| `actions.ts` | 197 | 6 个 Server Action（P1-2 已修复，无直接 DB 操作） |
+| `data-access.ts` | 171 | 公告 CRUD + 发布/归档（含 P1-2 新增 5 个写函数） |
 | `schema.ts` | - | Zod 校验 |
 | `types.ts` | - | 类型定义 |
 
@@ -1123,8 +1123,8 @@ src/auth.ts ──▶ import { ... } from "@/shared/lib/permissions"
 
 | 文件 | 行数 | 问题 | 拆分建议 |
 |------|------|------|---------|
-| `classes/data-access.ts` | ~~2104~~ → 656 | ~~混入 homework/scheduling/grades 逻辑~~ ✅ 已拆分 | 已拆为 5 个文件：data-access.ts(656行) + data-access-stats.ts(604行) + data-access-schedule.ts(230行) + data-access-students.ts(280行) + data-access-admin.ts(441行)，通过 re-export 保持向后兼容 |
-| `homework/data-access.ts` | ~~1038~~ → 596 | ~~混入排名计算业务逻辑~~ ✅ 已拆分 | 已拆为 data-access.ts(596行) + stats-service.ts(346行)，统计函数迁移至 stats-service.ts |
+| `classes/data-access.ts` | ~~2104~~ → 548 | ~~混入 homework/scheduling/grades 逻辑~~ ✅ 已拆分 | 已拆为 5 个文件：data-access.ts(548行) + data-access-stats.ts(531行) + data-access-schedule.ts(194行) + data-access-students.ts(244行) + data-access-admin.ts(406行)，通过 re-export 保持向后兼容 |
+| `homework/data-access.ts` | ~~1038~~ → 598 | ~~混入排名计算业务逻辑~~ ✅ 已拆分 | 已拆为 data-access.ts(598行) + stats-service.ts(425行)，统计函数迁移至 stats-service.ts |
 | `shared/db/schema.ts` | 1111 | 54 张表混合 | 按业务域拆分为 schema/auth.ts + schema/academic.ts + schema/exam.ts + ...，通过 index.ts 聚合 |
 
 ### P0-2：shared/lib ↔ auth 循环依赖
@@ -1211,10 +1211,10 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 
 | 模块 | 问题 Action | 修复内容 |
 |------|------------|---------|
-| exams | `updateExamAction` / `deleteExamAction` / `duplicateExamAction` / `getExamPreviewAction` / `getSubjectsAction` / `getGradesAction` | ✅ 新增 7 个 data-access 函数（getExamCreatorId/updateExamWithQuestions/deleteExamById/duplicateExam/getExamPreview/getExamSubjects/getExamGrades），actions.ts 831→766 行，data-access.ts 374→524 行 |
+| exams | `updateExamAction` / `deleteExamAction` / `duplicateExamAction` / `getExamPreviewAction` / `getSubjectsAction` / `getGradesAction` | ✅ 新增 7 个 data-access 函数（getExamCreatorId/updateExamWithQuestions/deleteExamById/duplicateExam/getExamPreview/getExamSubjects/getExamGrades），actions.ts 831→691 行，data-access.ts 374→471 行 |
 | homework | `createHomeworkAssignmentAction`（157 行）/ `startHomeworkSubmissionAction` / `saveHomeworkAnswerAction` / `submitHomeworkAction` / `gradeHomeworkSubmissionAction` | ✅ 新建 `data-access-write.ts`（285 行，10 个写函数），actions.ts 387→239 行 |
-| questions | `createQuestionAction` / `updateQuestionAction` / `deleteQuestionAction` / `getKnowledgePointOptionsAction` | ✅ 新增 4 个 data-access 函数（createQuestionWithRelations/updateQuestionById/deleteQuestionByIdRecursive/getKnowledgePointOptions），actions.ts 294→177 行，data-access.ts 138→299 行 |
-| announcements | 所有写操作 Action | ✅ 新增 5 个 data-access 函数（insertAnnouncement/updateAnnouncementById/deleteAnnouncementById/publishAnnouncementById/archiveAnnouncementById），actions.ts 242→231 行，data-access.ts 120→186 行 |
+| questions | `createQuestionAction` / `updateQuestionAction` / `deleteQuestionAction` / `getKnowledgePointOptionsAction` | ✅ 新增 4 个 data-access 函数（createQuestionWithRelations/updateQuestionById/deleteQuestionByIdRecursive/getKnowledgePointOptions），actions.ts 294→149 行，data-access.ts 138→260 行 |
+| announcements | 所有写操作 Action | ✅ 新增 5 个 data-access 函数（insertAnnouncement/updateAnnouncementById/deleteAnnouncementById/publishAnnouncementById/archiveAnnouncementById），actions.ts 242→197 行，data-access.ts 120→171 行 |
 
 **剩余未修复模块**（不在本次 P1-2 范围）：
 - users：`updateUserProfileAction` 直接 db.update
@@ -1224,7 +1224,7 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 
 `src/auth.ts` 原 293 行混合：NextAuth 配置 + 密码安全 DB 操作 + 角色规范化 + IP 解析 + 回调函数。
 
-**已完成拆分**（auth.ts 现 208 行，仅保留 NextAuth 配置）：
+**已完成拆分**（auth.ts 现 193 行，仅保留 NextAuth 配置）：
 - ✅ 密码安全 DB 操作 → `shared/lib/password-security-service.ts`（getOrCreatePasswordSecurity / recordFailedLogin / resetFailedLogin，server-only）
 - ✅ 角色规范化 → `shared/lib/role-utils.ts`（normalizeRole / resolvePrimaryRole，纯函数）
 - ✅ bcrypt 哈希规范化 → `shared/lib/bcrypt-utils.ts`（normalizeBcryptHash，纯函数）
@@ -1237,9 +1237,9 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 
 `users/import-export.ts` 原 291 行混合：导入解析 + 导出 + 用户创建（含密码哈希）+ 班级注册（跨模块写 classEnrollments）。
 
-**已完成拆分**（import-export.ts 现 177 行，仅保留文件解析/生成）：
-- ✅ 用户创建（含密码哈希、角色分配）→ `user-service.ts`（`batchImportUsers`，96 行，server-only）
-- ✅ 班级注册 → `class-registration.ts`（`registerStudentByInvitationCode`，30 行，server-only）
+**已完成拆分**（import-export.ts 现 157 行，仅保留文件解析/生成）：
+- ✅ 用户创建（含密码哈希、角色分配）→ `user-service.ts`（`batchImportUsers`，82 行，server-only）
+- ✅ 班级注册 → `class-registration.ts`（`registerStudentByInvitationCode`，21 行，server-only）
 - ✅ `batchImportUsers` 不再直写 `classEnrollments`，改为调用 `classes/data-access.enrollStudentByInvitationCode`
 - ✅ `import-export.ts` 通过 re-export `batchImportUsers` / `UserImportResult` 保持向后兼容（`actions.ts` 和 `app/api/export/route.ts` 无需修改）
 
@@ -1261,8 +1261,8 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 
 | 序号 | 问题 | 模块 |
 |------|------|------|
-| P2-1 | `exams/ai-pipeline.ts` 912 行，混合 4 类职责 | exams |
-| ~~P2-2~~ | ~~`exams/actions.ts` 832 行（超 800 建议）~~ ✅ 已修复（P1-2 后降至 766 行） | exams |
+| P2-1 | `exams/ai-pipeline.ts` 857 行，混合 4 类职责 | exams |
+| ~~P2-2~~ | ~~`exams/actions.ts` 832 行（超 800 建议）~~ ✅ 已修复（P1-2 后降至 691 行） | exams |
 | ~~P2-3~~ | ~~`shared/lib/ai.ts` 218 行，混合 5 类职责~~ ✅ 已修复（P2-2 已拆分为 `ai/` 目录） | shared |
 | P2-4 | `onboarding-gate.tsx` 业务逻辑泄漏到 shared | shared |
 | P2-5 | `global-search.tsx` 业务类型硬编码在 shared | shared |
@@ -1287,8 +1287,8 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 ## 3.4 解耦优先级路线图
 
 ### 立即执行（P0）
-1. ~~拆分 `classes/data-access.ts`（2104 行 → 按职责拆 3-4 个文件）~~ ✅ 已完成（拆为 5 个文件：data-access.ts 656行 + data-access-stats.ts 604行 + data-access-schedule.ts 230行 + data-access-students.ts 280行 + data-access-admin.ts 441行）
-2. ~~拆分 `homework/data-access.ts`（1038 行 → 分离排名逻辑）~~ ✅ 已完成（拆为 data-access.ts 596行 + stats-service.ts 346行）
+1. ~~拆分 `classes/data-access.ts`（2104 行 → 按职责拆 3-4 个文件）~~ ✅ 已完成（拆为 5 个文件：data-access.ts 548行 + data-access-stats.ts 531行 + data-access-schedule.ts 194行 + data-access-students.ts 244行 + data-access-admin.ts 406行）
+2. ~~拆分 `homework/data-access.ts`（1038 行 → 分离排名逻辑）~~ ✅ 已完成（拆为 data-access.ts 598行 + stats-service.ts 425行）
 3. 修复 `shared/lib` ↔ `auth` 循环依赖
 4. dashboard 改为通过各模块 data-access 获取数据
 5. messaging 写通知改为通过 notifications dispatcher
@@ -1298,7 +1298,7 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 ### 短期执行（P1）
 8. ~~actions 层移除直接 DB 操作（exams/homework/questions/announcements/users/scheduling）~~ ✅ 部分完成（exams/homework/questions/announcements 已修复，users/scheduling 待处理）
 9. ~~拆分 `auth.ts`~~ ✅ 已完成（4 个辅助函数组迁移至 shared/lib，auth.ts 保留 NextAuth 配置）
-10. ~~拆分 `users/import-export.ts`~~ ✅ 已完成（拆为 import-export.ts 177行 + user-service.ts 96行 + class-registration.ts 30行，班级注册改为调用 classes/data-access）
+10. ~~拆分 `users/import-export.ts`~~ ✅ 已完成（拆为 import-export.ts 157行 + user-service.ts 82行 + class-registration.ts 21行，班级注册改为调用 classes/data-access）
 11. 消除 notifications → messaging 反向依赖
 12. 提取 `shared/lib/http-utils.ts` 统一 IP 提取
 13. 各模块暴露跨模块查询接口（见 P1-1）
@@ -1392,7 +1392,7 @@ shared/lib/{audit-logger, change-logger, auth-guard} → @/auth → shared/lib/*
 6. 在 `auth-guard.ts` 中通过 `classSubjectTeachers` 查询教师关联的 classIds，构建 `DataScope.class_taught`
 
 ### `permission`
-1. 由 `shared/types/permissions.ts` 的 `Permissions` 常量定义（57 个权限点）
+1. 由 `shared/types/permissions.ts` 的 `Permissions` 常量定义（54 个权限点）
 2. 在 `shared/lib/permissions.ts` 中通过 `ROLE_PERMISSIONS` 映射角色到权限列表
 3. 在 `auth.ts` JWT callback 中通过 `resolvePermissions(roleNames)` 合并多角色权限，存入 JWT
 4. 在 `proxy.ts` middleware 中通过 `token.permissions` 检查路由访问权限