管理员默认密码 admin/admin，首次登录强制改密码；增加服务器部署配置

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

web/backend/internal/auth/bootstrap.go

@@ -6,9 +6,9 @@ import (
 	"trade/web/internal/store"
 )
 
-// Bootstrap 在 auth.db 没有任何 admin 时,从 ADMIN_USER/ADMIN_PASS 写入一条管理员;
-// 已存在 admin 时静默跳过,避免轮换 env 时静默改密。
-func Bootstrap(s *store.AuthStore, adminUser, adminPass string) error {
+// Bootstrap 在 auth.db 没有任何 admin 时,写入默认管理员 admin/admin;
+// 并强制首次登录后改密码。已存在 admin 时静默跳过。
+func Bootstrap(s *store.AuthStore) error {
 	n, err := s.CountAdmins()
 	if err != nil {
 		return err
@@ -16,17 +16,17 @@ func Bootstrap(s *store.AuthStore, adminUser, adminPass string) error {
 	if n > 0 {
 		return nil
 	}
-	if adminUser == "" || adminPass == "" {
-		log.Printf("[bootstrap] auth.db 无 admin,但 ADMIN_USER/ADMIN_PASS 未设置,跳过引导")
-		return nil
-	}
-	hash, err := HashPassword(adminPass)
+	hash, err := HashPassword("admin")
 	if err != nil {
 		return err
 	}
-	if _, err := s.CreateUser(adminUser, hash, store.RoleAdmin); err != nil {
+	u, err := s.CreateUser("admin", hash, store.RoleAdmin)
+	if err != nil {
 		return err
 	}
-	log.Printf("[bootstrap] admin %q created", adminUser)
+	if err := s.SetForcePasswordChange(u.ID, true); err != nil {
+		return err
+	}
+	log.Printf("[bootstrap] admin created (default password), force password change enabled")
 	return nil
 }