fix: 生产安全修复 + Go SDK + CAS SSO框架

安全修复:
- CRITICAL: SSO重定向URL注入漏洞 - 修复redirect_uri白名单验证
- HIGH: SSO ClientSecret未验证 - 使用crypto/subtle.ConstantTimeCompare验证
- HIGH: 邮件验证码熵值过低(3字节) - 提升到6字节(48位熵)
- HIGH: 短信验证码熵值过低(4字节) - 提升到6字节
- HIGH: Goroutine使用已取消上下文 - auth_email.go使用独立context+超时
- HIGH: SQL LIKE查询注入风险 - permission/role仓库使用escapeLikePattern

新功能:
- Go SDK: sdk/go/user-management/ 完整SDK实现
- CAS SSO框架: internal/auth/cas.go CAS协议支持

其他:
- L1Cache实例问题修复 - AuthMiddleware共享l1Cache
- 设备指纹XSS防护 - 内存存储替代localStorage
- 响应格式协议中间件
- 导出无界查询修复

cmd/server/main.go

@@ -121,7 +121,8 @@ func main() {
 	totpService := service.NewTOTPService(userRepo)
 
 	passwordResetConfig := service.DefaultPasswordResetConfig()
-	passwordResetService := service.NewPasswordResetService(userRepo, cacheManager, passwordResetConfig)
+	passwordResetService := service.NewPasswordResetService(userRepo, cacheManager, passwordResetConfig).
+		WithPasswordHistoryRepo(passwordHistoryRepo)
 
 	webhookService := service.NewWebhookService(db.DB, service.WebhookServiceConfig{
 		Enabled: false,
@@ -143,6 +144,7 @@ func main() {
 		roleRepo,
 		rolePermissionRepo,
 		permissionRepo,
+		l1Cache,
 	)
 	authMiddleware.SetCacheManager(cacheManager)
 
@@ -168,7 +170,13 @@ func main() {
 
 	// 初始化 SSO 管理器
 	ssoManager := auth.NewSSOManager()
-	ssoHandler := handler.NewSSOHandler(ssoManager)
+	ssoClientsStore := auth.NewDefaultSSOClientsStore()
+	ssoHandler := handler.NewSSOHandler(ssoManager, ssoClientsStore)
+
+	// SSO 会话清理 context（随服务器关闭而取消）
+	ssoCtx, ssoCancel := context.WithCancel(context.Background())
+	defer ssoCancel()
+	ssoManager.StartCleanup(ssoCtx)
 
 	// 设置路由
 	r := router.NewRouter(