1

docs/technical/PASSWORD_ENTRY_FLOW_DESIGN_2026-04-21.md

@@ -1,6 +1,6 @@
 # 密码登录入口历史落地设计
 
-> 2026-04-25 更新：当前产品策略已调整为“不开放密码注册”。新用户必须通过手机号验证码注册/登录，密码登录只面向已经登录后设置过密码的手机号账号。`POST /api/auth/entry` 只接受 `phone + password`，不支持邮箱、用户名或百梦号登录，也不承担自动建号能力。本文原有“密码自动建号”内容仅作为历史背景保留，当前落地以本更新和 [PASSWORD_LOGIN_CHANGE_RESET_DESIGN_2026-04-24.md](./PASSWORD_LOGIN_CHANGE_RESET_DESIGN_2026-04-24.md) 为准。
+> 2026-04-25 更新：当前产品策略已调整为“不开放密码注册”。新用户必须通过手机号验证码注册/登录，密码登录只面向已经登录后设置过密码的手机号账号。`POST /api/auth/entry` 只接受 `phone + password`，不支持邮箱、用户名或陶泥号登录，也不承担自动建号能力。本文原有“密码自动建号”内容仅作为历史背景保留，当前落地以本更新和 [PASSWORD_LOGIN_CHANGE_RESET_DESIGN_2026-04-24.md](./PASSWORD_LOGIN_CHANGE_RESET_DESIGN_2026-04-24.md) 为准。
 >
 > 2026-04-28 更新：为开发期本地/测试服联调新增服务端环境变量 `GENARRATIVE_DEV_PASSWORD_ENTRY_AUTO_REGISTER_ENABLED`，默认 `false`。仅当该变量显式为 `true` 时，`POST /api/auth/entry` 可对未知手机号用本次密码直接创建账号并登录；默认关闭时仍严格保持未知手机号返回 `401` 的生产语义。该开关不得用于生产环境，也不新增任何前端规则说明文案。
 
@@ -17,7 +17,7 @@
 
 1. `api-server` 对外只暴露 `phone + password` 的最小接口。
 2. `module-auth` 只负责已存在手机号账号的密码校验。
-3. 密码入口不创建账号，不接收邮箱、用户名或百梦号。
+3. 密码入口不创建账号，不接收邮箱、用户名或陶泥号。
 4. 登录成功后与 JWT、refresh cookie 的衔接方式。
 
 ## 1.1 当前冻结结论
@@ -239,7 +239,7 @@
 1. 未知手机号密码登录返回 `401`，且不创建账号。
 2. 已登录手机号账号设置密码后可用 `phone + password` 登录。
 3. 同手机号错误密码返回 `401`。
-4. 邮箱、用户名或百梦号作为密码登录标识返回 `400`。
+4. 邮箱、用户名或陶泥号作为密码登录标识返回 `400`。
 5. 登录成功时返回 access token。
 6. 登录成功时写回 refresh cookie。
 7. `GENARRATIVE_DEV_PASSWORD_ENTRY_AUTO_REGISTER_ENABLED` 默认关闭时行为不变。