From b6c661fb3d74606275935f73fbc648f28355ebcb Mon Sep 17 00:00:00 2001
From: Rogee <rogee@ipao.vip>
Date: Thu, 8 Jan 2026 16:30:03 +0800
Subject: [PATCH] docs: note current auth routing

---
 specs/PRD.md     | 5 +++++
 specs/ROUTING.md | 6 ++++--
 2 files changed, 9 insertions(+), 2 deletions(-)

diff --git a/specs/PRD.md b/specs/PRD.md
index d457448..18cc489 100644
--- a/specs/PRD.md
+++ b/specs/PRD.md
@@ -1,5 +1,10 @@
 # 新项目 PRD（多租户 + 微信登录/分享 + 余额支付）
 
+## 当前实现说明
+
+- 认证方式已切换为 OTP + JWT；WeChat OAuth/JS-SDK 暂未落地，保留为规划
+- 路由当前使用 `/v1` 前缀，多租户 `/t/:tenant_code` 待统一改造
+
 ## 1. 范围与约束
 
 ### 1.1 多租户（从第一天开始）
diff --git a/specs/ROUTING.md b/specs/ROUTING.md
index 7d40477..da0d4c7 100644
--- a/specs/ROUTING.md
+++ b/specs/ROUTING.md
@@ -4,6 +4,7 @@
 
 ### 1.1 约定
 
+- 当前实现使用 `/v1` 与 `/super/v1`，多租户前缀待统一改造
 - 租户前缀：`/t/:tenant_code/`（不区分大小写；服务端统一按 `lower()` 识别）
 - API：`/t/:tenant_code/v1/...`
 - Admin SPA：`/t/:tenant_code/admin/...`
@@ -54,11 +55,13 @@
 ### 4.2 API baseURL 与 Cookie
 
 - axios `baseURL = "/t/<tenant_code>/v1"`
-- `withCredentials = true`（携带 cookie 会话）
+- `withCredentials = true`（历史 WeChat 方案）
+- 当前实现改为 JWT：`Authorization: Bearer <token>`
 
 ### 4.3 未登录跳转
 
 - 401 时跳：`/t/<tenant_code>/v1/auth/wechat?redirect=<encodeURIComponent(currentUrl)>`
+- 当前实现为 OTP 登录，不走微信授权回调
 
 ---
 
@@ -77,4 +80,3 @@
 - 统一格式：`quyun/<tenant_uuid>/<md5>.<ext>`
 - `tenant_uuid` 来自 `tenants.tenant_uuid`
 - `md5` 来自上传文件内容 hash
-