feat: sync lijiaoqiao implementation and staging validation artifacts

reports/token_runtime_implementation_gap_review_2026-03-27.md

@@ -0,0 +1,57 @@
+# Token 真实实现差距审计报告（2026-03-27）
+
+## 1. 审计目标
+
+验证“系统真实 token 相关功能是否已开发并可用于 staging/生产验收”。
+
+## 2. 审计范围
+
+1. 仓库业务实现代码（排除竞品样例目录）。
+2. 可部署工件与运行入口（Dockerfile、compose、构建清单）。
+3. 供应侧联调执行链路与环境探测结果。
+
+## 3. 审计方法
+
+1. 扫描仓库目录结构与可执行源码文件。
+2. 扫描与 token/bearer/jwt/key 相关实现位置。
+3. 交叉核对 staging 发现报告与 SUP Gate 执行证据。
+
+## 4. 关键事实证据
+
+1. 业务仓库（不含 `llm-gateway-competitors/`）内，仅发现一份可执行代码：
+   - `scripts/mock/supply_gateway_mock_server.py`
+2. 业务仓库（不含 `llm-gateway-competitors/`）未发现后端工程入口与部署工件：
+   - 未发现 `Dockerfile`、`docker-compose.yml`、`pom.xml`、`go.mod`、`package.json`（业务实现级）
+3. `scripts/supply-gate/.env` 仍为占位 token，未具备真实短期凭证：
+   - `OWNER_BEARER_TOKEN="replace-me-owner-token"`
+   - `VIEWER_BEARER_TOKEN="replace-me-viewer-token"`
+   - `ADMIN_BEARER_TOKEN="replace-me-admin-token"`
+4. staging 发现报告确认本机服务并非立交桥供应侧 API，目标接口返回 404：
+   - 证据：`reports/supply_staging_discovery_2026-03-27.md`
+5. SUP-004~SUP-007 当前通过结论来源于 local-mock，不是 staging 实服：
+   - 证据：`reports/supply_gate_review_2026-03-31.md`
+
+## 5. 审计结论
+
+结论：**“真实 token 相关功能未开发完成（至少未形成可验证运行态实现）”的判断成立。**
+
+说明：
+1. 当前仓库已具备 PRD/OpenAPI/DDL/脚本与 mock 验证链路。
+2. 但缺少可部署的业务后端实现与真实环境可验证证据。
+3. 因此不能将当前 PASS（mock）外推为 staging/生产 PASS。
+
+## 6. 风险评级
+
+| 风险ID | 等级 | 描述 | 影响 |
+|---|---|---|---|
+| TOK-REAL-001 | P0 | token 相关能力停留在文档/mock，缺生产运行态实现 | 发布决策误判、上线失败 |
+| TOK-REAL-002 | P0 | 无真实环境鉴权链路证据，M-013~M-016 缺生产口径闭环 | 安全边界不可证明 |
+| TOK-REAL-003 | P1 | 缺实现级依赖与版本锁定工件 | 可重复构建与可追溯性不足 |
+
+## 7. 整改准入条件（进入生产 GO 前）
+
+1. 交付可部署后端实现（鉴权、token 生命周期、审计日志、边界拦截）。
+2. 提供 staging 可达地址与真实短期 token，跑通 `SUP-004~SUP-007`。
+3. 用 staging 证据替换全部 `PASS（mock）` 结论。
+4. 回填 M-013~M-016 实测值，并保留 7 天连续观测。
+