v1.1.1

更新内容

• 生产环境默认关闭 FastAPI Swagger/ReDoc/OpenAPI 暴露端点，可通过 API_DOCS_ENABLED=1 显式开启。
• 新增基于 IP 的分层限速，覆盖登录、后台 API、支付 API、公开订单状态查询等高风险入口。
• 后台商户列表和商户查询接口不再返回完整签名密钥，仅返回密钥指纹。
• 商户密钥重置接口不再在响应中返回新密钥，避免二次泄露。
• 统一商户不存在、密钥错误、签名错误、封禁等认证失败响应，降低 PID/key 枚举风险。
• 后台订单列表和导出筛选参数改为强类型校验，拦截 SQL 注入类 payload。
• JWT 校验增加 base64url canonical 检查，拒绝非规范编码 token。
• QR 解析改为懒加载 zbar，并补充 qrcode 测试依赖。
• 前端商户页移除完整 key 复制和本地签名测试入口，仅展示 key 指纹。

测试

• /tmp/qiu-pay-venv/bin/python -m pytest：292 passed
• npm run build：通过