fix: 生产安全修复 + Go SDK + CAS SSO框架

安全修复:
- CRITICAL: SSO重定向URL注入漏洞 - 修复redirect_uri白名单验证
- HIGH: SSO ClientSecret未验证 - 使用crypto/subtle.ConstantTimeCompare验证
- HIGH: 邮件验证码熵值过低(3字节) - 提升到6字节(48位熵)
- HIGH: 短信验证码熵值过低(4字节) - 提升到6字节
- HIGH: Goroutine使用已取消上下文 - auth_email.go使用独立context+超时
- HIGH: SQL LIKE查询注入风险 - permission/role仓库使用escapeLikePattern

新功能:
- Go SDK: sdk/go/user-management/ 完整SDK实现
- CAS SSO框架: internal/auth/cas.go CAS协议支持

其他:
- L1Cache实例问题修复 - AuthMiddleware共享l1Cache
- 设备指纹XSS防护 - 内存存储替代localStorage
- 响应格式协议中间件
- 导出无界查询修复

internal/service/email.go

@@ -294,12 +294,14 @@ func buildActivationEmailBody(username, activationURL, siteName string, ttl time
 }
 
 func generateEmailCode() (string, error) {
-	buffer := make([]byte, 3)
+	// 使用 6 字节随机数提供足够的熵（48 位）
+	buffer := make([]byte, 6)
 	if _, err := cryptorand.Read(buffer); err != nil {
 		return "", fmt.Errorf("generate email code failed: %w", err)
 	}
 
-	value := int(buffer[0])<<16 | int(buffer[1])<<8 | int(buffer[2])
+	value := int(buffer[0])<<40 | int(buffer[1])<<32 | int(buffer[2])<<24 |
+		int(buffer[3])<<16 | int(buffer[4])<<8 | int(buffer[5])
 	value = value % 1000000
 	if value < 100000 {
 		value += 100000