fix(security): 修复多个MED安全问题

MED-03: 数据库密码明文配置
- 在 gateway/internal/config/config.go 中添加 AES-GCM 加密支持
- 添加 EncryptedPassword 字段和 GetPassword() 方法
- 支持密码加密存储和解密获取

MED-04: 审计日志Route字段未验证
- 在 supply-api/internal/middleware/auth.go 中添加 sanitizeRoute() 函数
- 防止路径遍历攻击（.., ./, \ 等）
- 防止 null 字节和换行符注入

MED-05: 请求体大小无限制
- 在 gateway/internal/handler/handler.go 中添加 MaxRequestBytes 限制（1MB）
- 添加 maxBytesReader 包装器
- 添加 COMMON_REQUEST_TOO_LARGE 错误码

MED-08: 缺少CORS配置
- 创建 gateway/internal/middleware/cors.go CORS 中间件
- 支持来源域名白名单、通配符子域名
- 支持预检请求处理和凭证配置

MED-09: 错误信息泄露内部细节
- 添加测试验证 JWT 错误消息不包含敏感信息
- 当前实现已正确返回安全错误消息

MED-10: 数据库凭证日志泄露风险
- 在 gateway/cmd/gateway/main.go 中使用 GetPassword() 代替 Password
- 避免 DSN 中明文密码被记录

MED-11: 缺少Token刷新机制
- 当前 verifyToken() 已正确验证 token 过期时间
- Token 刷新需要额外的 refresh token 基础设施

MED-12: 缺少暴力破解保护
- 添加 BruteForceProtection 结构体
- 支持最大尝试次数和锁定时长配置
- 在 TokenVerifyMiddleware 中集成暴力破解保护

gateway/internal/middleware/cors.go

@@ -0,0 +1,113 @@
+package middleware
+
+import (
+	"net/http"
+	"strings"
+)
+
+// CORSConfig CORS配置
+type CORSConfig struct {
+	AllowOrigins     []string // 允许的来源域名
+	AllowMethods     []string // 允许的HTTP方法
+	AllowHeaders     []string // 允许的请求头
+	ExposeHeaders    []string // 允许暴露给客户端的响应头
+	AllowCredentials bool     // 是否允许携带凭证
+	MaxAge           int      // 预检请求缓存时间（秒）
+}
+
+// DefaultCORSConfig 返回默认CORS配置
+func DefaultCORSConfig() CORSConfig {
+	return CORSConfig{
+		AllowOrigins: []string{"*"}, // 生产环境应限制具体域名
+		AllowMethods: []string{"GET", "POST", "PUT", "DELETE", "OPTIONS"},
+		AllowHeaders: []string{"Authorization", "Content-Type", "X-Request-ID", "X-Request-Key"},
+		ExposeHeaders: []string{"X-Request-ID"},
+		AllowCredentials: false,
+		MaxAge: 86400, // 24小时
+	}
+}
+
+// CORSMiddleware 创建CORS中间件
+func CORSMiddleware(config CORSConfig) func(http.Handler) http.Handler {
+	return func(next http.Handler) http.Handler {
+		return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
+			// 处理CORS预检请求
+			if r.Method == http.MethodOptions {
+				handleCORSPreflight(w, r, config)
+				return
+			}
+
+			// 处理实际请求的CORS头
+			setCORSHeaders(w, r, config)
+			next.ServeHTTP(w, r)
+		})
+	}
+}
+
+// handleCORS Preflight 处理预检请求
+func handleCORSPreflight(w http.ResponseWriter, r *http.Request, config CORSConfig) {
+func handleCORS Preflight(w http.ResponseWriter, r *http.Request, config CORSConfig) {
+	origin := r.Header.Get("Origin")
+
+	// 检查origin是否被允许
+	if !isOriginAllowed(origin, config.AllowOrigins) {
+		w.WriteHeader(http.StatusForbidden)
+		return
+	}
+
+	// 设置预检响应头
+	w.Header().Set("Access-Control-Allow-Origin", origin)
+	w.Header().Set("Access-Control-Allow-Methods", strings.Join(config.AllowMethods, ", "))
+	w.Header().Set("Access-Control-Allow-Headers", strings.Join(config.AllowHeaders, ", "))
+	w.Header().Set("Access-Control-Max-Age", string(rune(config.MaxAge)))
+
+	if config.AllowCredentials {
+		w.Header().Set("Access-Control-Allow-Credentials", "true")
+	}
+
+	w.WriteHeader(http.StatusNoContent)
+}
+
+// setCORSHeaders 设置实际请求的CORS响应头
+func setCORSHeaders(w http.ResponseWriter, r *http.Request, config CORSConfig) {
+	origin := r.Header.Get("Origin")
+
+	// 检查origin是否被允许
+	if !isOriginAllowed(origin, config.AllowOrigins) {
+		return
+	}
+
+	w.Header().Set("Access-Control-Allow-Origin", origin)
+
+	if len(config.ExposeHeaders) > 0 {
+		w.Header().Set("Access-Control-Expose-Headers", strings.Join(config.ExposeHeaders, ", "))
+	}
+
+	if config.AllowCredentials {
+		w.Header().Set("Access-Control-Allow-Credentials", "true")
+	}
+}
+
+// isOriginAllowed 检查origin是否在允许列表中
+func isOriginAllowed(origin string, allowedOrigins []string) bool {
+	if origin == "" {
+		return false
+	}
+
+	for _, allowed := range allowedOrigins {
+		if allowed == "*" {
+			return true
+		}
+		if strings.EqualFold(allowed, origin) {
+			return true
+		}
+		// 支持通配符子域名 *.example.com
+		if strings.HasPrefix(allowed, "*.") {
+			domain := allowed[2:]
+			if strings.HasSuffix(origin, domain) {
+				return true
+			}
+		}
+	}
+	return false
+}