重写

server-rs/crates/api-server/README.md

@@ -33,6 +33,15 @@
 11. 接入 `GET /api/auth/me` 当前用户查询链路
 12. 接入 `POST /api/auth/refresh` refresh token 轮换链路
 13. 接入 `POST /api/auth/logout` 当前设备退出链路
+14. 接入 `POST /api/assets/objects/confirm` 上传完成确认链路
+15. 接入 `GET /api/auth/login-options` 登录方式探测链路
+16. 接入 `POST /api/auth/phone/send-code` 手机验证码发送链路
+17. 接入 `POST /api/auth/phone/login` 手机验证码登录链路
+18. 接入 `GET /api/auth/wechat/start` 微信授权起跳链路
+19. 接入 `GET /api/auth/wechat/callback` 微信回调换取系统登录态链路
+20. 接入 `POST /api/auth/wechat/bind-phone` 微信待绑定账号补绑手机号链路
+21. 接入 `POST /api/assets/objects/bind` 已确认对象绑定业务实体槽位链路
+22. 接入 `POST /api/assets/sts-upload-credentials` 禁用式 STS 写权限 contract
 
 后续与本 crate 直接相关的任务包括：
 
@@ -46,6 +55,15 @@
 8. [x] 接入 `/api/auth/me`
 9. [x] 接入 `/api/auth/refresh`
 10. [x] 接入 `/api/auth/logout`
+11. [x] 接入 `/api/assets/objects/confirm`
+12. [x] 接入 `/api/auth/login-options`
+13. [x] 接入 `/api/auth/phone/send-code`
+14. [x] 接入 `/api/auth/phone/login`
+15. [x] 接入 `/api/auth/wechat/start`
+16. [x] 接入 `/api/auth/wechat/callback`
+17. [x] 接入 `/api/auth/wechat/bind-phone`
+18. [x] 接入 `/api/assets/objects/bind`
+19. [x] 接入 `/api/assets/sts-upload-credentials`
 
 当前 tracing 约定：
 
@@ -108,3 +126,8 @@
 6. 当前 `/api/auth/me` 复用现有 Bearer JWT 中间件与 `module-auth` 用户快照查询，不直接绕过模块边界读取内部状态。
 7. 当前 `/api/auth/refresh` 复用 `module-auth` 的 refresh session 轮换能力，`api-server` 负责 refresh cookie 读取、失败清理与 access token 重签。
 8. 当前 `/api/auth/logout` 复用 `module-auth` 的当前会话吊销与用户版本递增能力，`api-server` 负责 Bearer JWT、refresh cookie 读取与清理 cookie 回写。
+9. 当前 `/api/assets/objects/confirm` 先由 `platform-oss` 完成私有 `HEAD Object` 校验，再通过 `spacetime-client` 调用 `spacetime-module` 的对象确认持久化入口。
+10. 当前 `/api/assets/objects/bind` 只绑定已确认对象到业务实体槽位，不访问 OSS，不创建悬空 `asset_object_id`。
+11. 当前手机号登录与微信登录都复用 `module-auth` 的进程内认证仓储，`api-server` 负责请求解析、场景判定、系统 JWT 签发与 refresh cookie 写回。
+12. 当前微信回调不会把第三方 token 直接透传给前端或 SpacetimeDB，而是统一换成系统签发的 JWT。
+13. 当前 `/api/assets/sts-upload-credentials` 按“服务器上传、Web 只下载”口径固定返回 `403`，不向浏览器下发 OSS 写权限。