第一阶段先落地账号入口和权限边界 UI。后续阶段接入邮箱密码认证、PostgreSQL 用户表和对象存储归属校验。
当前阶段使用本地 JSON 持久化账号和 HttpOnly 会话 Cookie,后续替换为 PostgreSQL/Prisma。