📝 docs(prd): update authentication API testing story details

- add story ID "004.002" to authentication API testing story
- add status indicator "📝 已创建" to story line
- expand test scenarios with specific test cases
- add performance benchmark testing requirement

📝 docs(stories): create authentication API testing story document

- define acceptance criteria for authentication API testing
- outline testing tasks and subtasks
- provide technical implementation details and guidelines
- specify test coverage targets and quality requirements
- document API endpoints and testing approach

docs/prd/epic-004-api-actual-request-testing.md

@@ -31,9 +31,12 @@
    - 实现用户CRUD操作的实际HTTP测试
    - 集成到CI/CD流水线
 
-2. **Story 2**: 使用hono/testing实现认证API实际请求测试
-   - 认证和授权的端到端测试（使用testClient）
-   - 数据验证和错误处理测试（使用testClient）
+2. **Story 004.002**: 认证API实际请求测试 📝 已创建
+   - 登录端点测试（正确凭据、错误凭据、禁用账户）
+   - 令牌验证端点测试（有效、过期、无效令牌）
+   - 权限检查端点测试（基于角色的访问控制）
+   - 错误处理测试覆盖
+   - 性能基准测试
 
 3. **Story 3**: 扩展其他模块的实际请求测试
    - 为数据管理、配置管理等模块添加实际HTTP测试

docs/stories/004.002.authentication-api-testing.md

@@ -0,0 +1,130 @@
+# Story 004.002: 认证API实际请求测试
+
+**父史诗**: 史诗004 - API实际请求测试基础设施
+docs/prd/epic-004-api-actual-request-testing.md
+
+## Status
+Draft
+
+## Story
+**As a** 质量保证工程师
+**I want** 实现认证API的实际HTTP请求测试
+**so that** 我可以在真实数据库环境下验证认证和授权流程的正确性，确保系统安全功能的可靠性
+
+## Acceptance Criteria
+1. 登录端点测试实现 - 支持多种认证场景（正确凭据、错误凭据、禁用账户）
+2. 令牌验证端点测试实现 - 验证JWT令牌的有效性和过期处理
+3. 权限检查端点测试实现 - 验证基于角色的访问控制
+4. 错误处理测试覆盖 - 包含认证失败、令牌过期、权限不足等场景
+5. 性能基准测试 - 认证操作响应时间<200ms
+
+## Tasks / Subtasks
+- [ ] 实现登录端点测试 (AC: #1)
+  - [ ] 正确凭据登录测试
+  - [ ] 错误凭据登录测试
+  - [ ] 禁用账户登录测试
+- [ ] 实现令牌验证端点测试 (AC: #2)
+  - [ ] 有效令牌验证测试
+  - [ ] 过期令牌验证测试
+  - [ ] 无效令牌验证测试
+- [ ] 实现权限检查端点测试 (AC: #3)
+  - [ ] 管理员权限验证测试
+  - [ ] 用户权限验证测试
+  - [ ] 无权限访问测试
+- [ ] 实现错误处理测试 (AC: #4)
+  - [ ] 认证失败错误处理测试
+  - [ ] 令牌过期错误处理测试
+  - [ ] 权限不足错误处理测试
+- [ ] 实现性能基准测试 (AC: #5)
+  - [ ] 登录操作性能测试
+  - [ ] 令牌验证性能测试
+
+## Dev Notes
+
+### 技术栈和测试框架 [Source: architecture/tech-stack.md#测试框架]
+- **测试框架**: Vitest 2.x + Hono Testing (testClient)
+- **测试位置**: `src/server/api/auth/__tests__/` 目录
+- **数据库**: 使用真实PostgreSQL数据库连接进行测试
+- **认证机制**: JWT Bearer Token认证
+- **覆盖率目标**: 核心认证API端点测试覆盖率100%
+
+### 项目结构指导 [Source: architecture/source-tree.md#API测试]
+- **遵循架构设计**: API测试文件应位于对应API端点的 `__tests__` 文件夹中
+- **目录结构**: 认证测试放到 `src/server/api/auth/__tests__/`
+- **测试工具**: 复用现有的集成测试工具函数
+- **测试数据**: 使用现有的TestDataFactory创建测试用户和角色
+
+### 现有测试基础设施 [Source: 故事004.001实现]
+- ✅ 已有测试数据库工具: `src/server/__test_utils__/integration-test-db.ts`
+- ✅ 已有集成测试工具: `src/server/__test_utils__/integration-test-utils.ts`
+- ✅ 已有测试数据工厂: TestDataFactory.createTestUser()
+- ✅ 已有用户API测试示例: `src/server/api/users/__tests__/users.integration.test.ts`
+- ✅ 使用hono/testing的testClient()，提供类型安全
+- ✅ 使用真实数据库连接而不是mock
+
+### API端点信息 [Source: api-design-integration.md]
+- **认证端点**:
+  - POST `/api/v1/auth/login` - 用户登录
+  - POST `/api/v1/auth/verify` - 令牌验证
+  - GET `/api/v1/auth/permissions` - 权限检查
+- **认证机制**: JWT Bearer Token
+- **权限控制**: 基于角色的访问控制(RBAC)
+
+### 安全考虑 [Source: architecture/security-integration.md]
+- 测试环境使用独立的测试数据库，与生产环境完全隔离
+- 测试数据使用生成的测试用户，不包含真实凭据
+- 敏感测试数据（如JWT令牌）进行适当处理
+- 测试完成后自动清理所有测试数据
+- 测试环境网络隔离，防止安全风险
+
+### 测试标准要求 [Source: architecture/coding-standards.md#测试标准]
+- 测试文件命名: `auth.integration.test.ts`
+- 测试组织: 使用describe/it块结构
+- 断言风格: Expect语法
+- 测试数据: 使用工厂函数创建测试用户和角色
+- 错误测试: 包含各种错误场景的测试用例
+
+## Testing
+### 测试策略
+- **测试类型**: 集成测试（实际HTTP请求 + 真实数据库）
+- **测试范围**: 所有核心认证API端点
+- **测试数据**: 使用工厂模式创建测试用户、角色和权限
+- **清理机制**: 每个测试用例后清理测试数据
+- **安全测试**: 包含各种认证失败场景
+
+### 测试验证点
+- HTTP状态码验证（200, 401, 403等）
+- JWT令牌生成和验证正确性
+- 响应数据结构验证
+- 数据库状态验证（用户会话等）
+- 错误处理验证
+- 性能基准验证（响应时间 < 200ms）
+
+### 测试报告
+- Vitest测试报告生成
+- 覆盖率报告集成
+- CI/CD流水线自动执行
+
+## Change Log
+| Date | Version | Description | Author |
+|------|---------|-------------|--------|
+| 2025-09-17 | 1.0 | 初始故事创建 | Sarah (PO) |
+
+## Dev Agent Record
+
+### Agent Model Used
+-
+
+### Debug Log References
+-
+
+### Completion Notes List
+-
+
+### File List
+- `src/server/api/auth/__tests__/auth.integration.test.ts` - 认证API集成测试
+- 可能需要更新的相关文件：
+  - `src/server/__test_utils__/integration-test-db.ts` - 如果需要添加认证相关测试数据
+  - `src/server/__test_utils__/integration-test-utils.ts` - 如果需要添加认证测试工具函数
+
+## QA Results