安全与邀请

适用场景

当 UI 需要管理 MFA、安全偏好、backup-code 状态或邀请收件箱动作时，使用这条流程。

前置条件

1. 有效 JWT
2. 有效 X-Client-Hash
3. 敏感修改需要 Secure Channel

调用顺序

1. 先读取安全配置和 MFA 状态
2. 对敏感修改建立 Secure Channel
3. 根据需要启用、禁用或验证 MFA
4. 将 invitation inbox 作为独立数据源单独加载

分支决策

1. MFA 是否已经配置
2. 走 OTP 还是 Email 路径
3. 邀请是接受、拒绝还是稍后处理

常见失败

1. 修改操作没有 Secure Channel
2. 误以为 onboarding 返回完整 invitation inbox
3. portal 或会话上下文错误
4. X-Client-Hash 已失效

Reference 入口

破坏性变更（Portal API 重构）

MFA 流程变更

• 旧流程: 设置 → 验证 → 启用/禁用（切换）
• 新流程: 设置 → 验证（自动启用）→ 撤销（完全移除）
• POST /security/mfa/{method}/enable 和 POST /security/mfa/{method}/disable 已移除
• 使用 POST /security/mfa/otp/revoke 撤销 OTP（重新启用需要完整的设置流程）

安全配置迁移

• GET /security/config 和 POST /security/config 已移除
• 使用 GET /security/sessions/config 和 POST /security/sessions/config 替代
• mfaEnabled 字段已移除——通过 GET /security/mfa 方法列表获取 MFA 状态
• ipWhitelistEnabled 字段已移除——使用 /ip-whitelist/enable 和 /ip-whitelist/disable

IP 白名单

• POST /security/ip-whitelist/clear 已移除——使用 POST /security/ip-whitelist 传入空条目
• 新增: POST /security/ip-whitelist/enable 和 POST /security/ip-whitelist/disable

登录历史迁移

• GET /profile/login-history 已移除
• 使用 GET /security/sessions/history 替代（现归入会话管理模块）