OpenAPI SSOT · 只允许通过 packages/api-client 调用后端

PodWeb Storefront

这是前台商城的最小骨架。后续页面（商品、SKU、购物车、订单）会严格遵守：Cookie Session + CSRF 防护，且所有 API 调用仅通过 OpenAPI 生成的 client 完成。

认证模型

Cookie Session（Redis 共享），明确 SameSite/HttpOnly/Secure。

契约驱动

OpenAPI 由 `apps/api` 自动生成，前端禁止手写 URL。

统一响应

{ code, data, message, traceId } 全站统一。