Self-owned Auth

先用签名 Session 把后台和商家链路保护起来

当前先提供开发态登录入口，统一发放签名 cookie。后续接真实成员、租户、密码学凭据时，页面与 API 都沿用同一条 session 验证链，不再继续裸奔。