实现服务启动时自动生成OpenAPI文档

主要变更:
1. 新增 cmd/api/docs.go 实现文档自动生成逻辑
2. 修改 cmd/api/main.go 在服务启动时调用文档生成
3. 重构 cmd/gendocs/main.go 提取生成函数
4. 更新 .gitignore 忽略自动生成的 openapi.yaml
5. 新增 Makefile 支持 make docs 命令
6. OpenSpec 框架更新和变更归档

功能特性:
- 服务启动时自动生成 OpenAPI 文档到项目根目录
- 保留独立的文档生成工具 (make docs)
- 生成失败时记录错误但不影响服务启动
- 所有代码已通过 openspec validate --strict 验证

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>

openspec/specs/data-permission/spec.md

@@ -0,0 +1,65 @@
+# data-permission Specification
+
+## Purpose
+TBD - created by archiving change refactor-framework-cleanup. Update Purpose after archive.
+## Requirements
+### Requirement: GORM Callback Data Permission
+
+系统 SHALL 使用 GORM Callback 机制自动为所有查询添加数据权限过滤。
+
+#### Scenario: 自动应用权限过滤
+- **WHEN** 执行 GORM 查询
+- **AND** Context 包含用户信息
+- **AND** 表包含 owner_id 字段
+- **THEN** 自动添加 WHERE owner_id IN (subordinateIDs) 条件
+
+#### Scenario: Root 用户跳过过滤
+- **WHEN** 当前用户是 Root 用户
+- **THEN** 不添加任何数据权限过滤条件
+- **AND** 可查询所有数据
+
+#### Scenario: 无 owner_id 字段的表
+- **WHEN** 表不包含 owner_id 字段
+- **THEN** 不添加数据权限过滤条件
+
+### Requirement: Skip Data Permission
+
+系统 SHALL 支持通过 Context 绕过数据权限过滤。
+
+#### Scenario: 显式跳过权限过滤
+- **WHEN** 调用 SkipDataPermission(ctx) 获取新 Context
+- **AND** 使用该 Context 执行 GORM 查询
+- **THEN** 不添加任何数据权限过滤条件
+
+#### Scenario: 内部操作跳过过滤
+- **WHEN** 执行内部同步、批量操作或管理员操作
+- **THEN** 应使用 SkipDataPermission 绕过过滤
+
+### Requirement: Subordinate IDs Caching
+
+系统 SHALL 缓存用户的下级 ID 列表以提高查询性能。
+
+#### Scenario: 缓存命中
+- **WHEN** 获取用户下级 ID 列表
+- **AND** Redis 缓存存在
+- **THEN** 直接返回缓存数据
+
+#### Scenario: 缓存未命中
+- **WHEN** 获取用户下级 ID 列表
+- **AND** Redis 缓存不存在
+- **THEN** 执行递归 CTE 查询获取下级 ID
+- **AND** 将结果缓存到 Redis（30 分钟过期）
+
+### Requirement: Callback Registration
+
+系统 SHALL 在应用启动时注册 GORM 数据权限 Callback。
+
+#### Scenario: 注册 Callback
+- **WHEN** 调用 RegisterDataPermissionCallback(db, accountStore)
+- **THEN** 注册 Query Before Callback
+- **AND** Callback 名称为 "data_permission"
+
+#### Scenario: AccountStore 依赖
+- **WHEN** 注册 Callback 时
+- **THEN** 需要传入 AccountStore 实例用于获取下级 ID
+