1

docs/technical/FRONTEND_TO_BACKEND_MIGRATION_EXECUTION_PLAN_2026-04-21.md

@@ -67,6 +67,7 @@
 1. 后端继续通过 JWT 承载 access token，并只从 `Authorization: Bearer ...` 读取当前访问身份。
 2. 前端请求层继续负责保存、刷新和携带 access token；公开请求与静默探测不得误清正式 token。
 3. access cookie 会话方案不进入 `codex/backend-rewrite-spacetimedb`，避免和目标分支已有 JWT 方案并存。
+4. `AuthGate` 通过 refresh cookie / `/api/auth/me` 恢复出用户后，必须先确保本地 access token 可用，再把 `readyUser` 暴露给运行时、设置、作品列表等受保护业务 hook；业务 hook 不能只凭 `user.id` 在 token 尚未补齐时启动远端请求。
 
 本批涉及：
 
@@ -168,6 +169,7 @@
 2. 401 刷新链只在已发送 Bearer token 时触发，并且刷新响应必须返回新的 JWT。
 3. 浏览历史仅通过远端接口读写。
 4. `src/services/platformBrowseHistory.ts` 不再是正式链路依赖。
+5. 手机验证码登录、微信回调或 refresh cookie 会话恢复完成后，首屏并发读取设置、存档、个人看板、浏览历史、作品列表前，必须已经完成 access token 写入，避免出现“用户已 ready 但请求缺少 Authorization Bearer Token”的竞态。
 
 ### 第二批验收