diff --git a/api/README.md b/api/README.md
new file mode 100644
index 0000000..52ec97f
--- /dev/null
+++ b/api/README.md
@@ -0,0 +1,211 @@
+# Coder Common Thin Backend API 文档
+
+## 项目概述
+
+Coder Common Thin Backend 是一个基于Spring Boot 3.5.0的企业级开发框架,采用插件化架构设计,提供了完整的后台管理系统功能。
+
+## 技术栈
+
+- **后端框架**: Spring Boot 3.5.0 + Java 17
+- **数据库**: MySQL 8 + MyBatis Plus 3.5.12
+- **缓存**: Redis (Spring Data Redis)
+- **安全认证**: Sa-Token 1.43.0
+- **权限控制**: RBAC (Role-Based Access Control)
+- **API文档**: OpenAPI 3.0 (Swagger)
+- **工具库**: Hutool 5.8.38, Fastjson2 2.0.57, Guava 33.4.8
+
+## 服务器信息
+
+- **默认端口**: 18099
+- **基础URL**: http://localhost:18099
+- **API前缀**: /coder (除登录认证接口外)
+
+## 认证方式
+
+系统使用Sa-Token进行身份认证和权限管理:
+- **Token类型**: Bearer Token
+- **Token位置**: 请求头 `Authorization` 字段
+- **Token过期**: 支持自定义过期时间
+- **权限验证**: 基于注解的权限验证
+
+## 统一响应格式
+
+所有接口均采用统一的JSON响应格式:
+
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": {
+ // 具体数据
+ },
+ "traceId": "trace-id-value"
+}
+```
+
+### 状态码说明
+
+- **200**: 成功
+- **400**: 请求参数错误
+- **401**: 认证失败/未登录
+- **403**: 权限不足
+- **500**: 服务器内部错误
+
+## 分页查询格式
+
+分页查询请求参数:
+```json
+{
+ "pageNo": 1,
+ "pageSize": 10,
+ "params": {
+ // 查询参数
+ }
+}
+```
+
+分页查询响应格式:
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": {
+ "records": [
+ // 数据记录
+ ],
+ "total": 100,
+ "size": 10,
+ "current": 1,
+ "pages": 10,
+ "searchCount": true
+ },
+ "traceId": "trace-id-value"
+}
+```
+
+## 权限系统
+
+系统采用RBAC权限模型:
+- **用户 (User)**: 系统使用者
+- **角色 (Role)**: 权限的集合
+- **权限 (Permission)**: 具体的操作权限
+- **菜单 (Menu)**: 系统菜单和按钮权限
+
+### 权限验证流程
+
+1. 用户登录获取Token
+2. 请求接口时携带Token
+3. 系统验证Token有效性
+4. 根据用户角色验证权限
+5. 允许或拒绝访问
+
+## API模块分类
+
+### 1. 认证模块 (Authentication)
+- [登录认证API](./authentication/登录认证API)
+- [验证码API](./authentication/验证码API)
+
+### 2. 用户管理模块 (User Management)
+- [用户管理API](./user/用户管理API)
+
+### 3. 权限管理模块 (Permission Management)
+- [菜单管理API](./permission/菜单管理API)
+- [角色管理API](./permission/角色管理API)
+
+### 4. 系统管理模块 (System Management)
+- [文件管理API](./system/文件管理API)
+- [图片管理API](./system/图片管理API)
+- [登录日志API](./system/登录日志API)
+
+## 错误处理
+
+系统提供了完善的错误处理机制:
+
+### 常见错误类型
+
+1. **业务异常**: 自定义业务逻辑错误
+2. **认证异常**: 登录认证相关错误
+3. **权限异常**: 权限验证失败
+4. **参数异常**: 请求参数验证失败
+5. **系统异常**: 服务器内部错误
+
+### 错误响应格式
+
+```json
+{
+ "status": 400,
+ "msg": "具体错误信息",
+ "data": null,
+ "traceId": "trace-id-value"
+}
+```
+
+## 开发环境配置
+
+### 数据库配置
+```yaml
+spring:
+ datasource:
+ url: jdbc:mysql://localhost:3306/coder_common_thin
+ username: root
+ password: your_password
+```
+
+### Redis配置
+```yaml
+spring:
+ redis:
+ host: localhost
+ port: 6379
+ password: your_password
+```
+
+### Sa-Token配置
+```yaml
+sa-token:
+ token-name: Authorization
+ timeout: 2592000
+ activity-timeout: -1
+ is-concurrent: true
+ is-share: false
+ is-read-head: true
+ is-read-cookie: false
+```
+
+## 接口调用示例
+
+### 登录接口调用
+```bash
+curl -X POST \
+ http://localhost:18099/auth/login \
+ -H 'Content-Type: application/json' \
+ -d '{
+ "loginName": "admin",
+ "password": "123456",
+ "codeKey": "uuid-key",
+ "securityCode": "1234"
+ }'
+```
+
+### 携带Token调用接口
+```bash
+curl -X GET \
+ http://localhost:18099/coder/sysLoginUser/getLoginUserInformation \
+ -H 'Authorization: Bearer your-token-value'
+```
+
+## 注意事项
+
+1. 所有接口都需要进行认证,除了登录接口和验证码接口
+2. 权限验证基于角色和权限码进行
+3. 系统支持多设备登录
+4. 敏感操作会记录操作日志
+5. 建议在生产环境中启用HTTPS
+
+## 更新日志
+
+- **v1.0.0** (2025-07-05): 初始版本发布
+
+## 联系方式
+
+如有问题,请联系开发团队。
\ No newline at end of file
diff --git a/api/authentication/登录认证API.md b/api/authentication/登录认证API.md
new file mode 100644
index 0000000..5f2be0b
--- /dev/null
+++ b/api/authentication/登录认证API.md
@@ -0,0 +1,255 @@
+# 登录认证API
+
+## 概述
+
+登录认证模块提供用户登录、退出、注册等功能,使用Sa-Token进行身份认证和会话管理。
+
+## 接口列表
+
+### 1. 用户登录
+
+**接口地址**: `POST /auth/login`
+
+**接口描述**: 用户使用账号密码登录系统
+
+**是否需要认证**: 否
+
+**请求参数**:
+
+```json
+{
+ "loginName": "admin",
+ "password": "123456",
+ "codeKey": "uuid-key",
+ "securityCode": "1234",
+ "rememberMe": false
+}
+```
+
+**请求参数说明**:
+
+| 参数名 | 类型 | 必填 | 说明 | 校验规则 |
+|--------|------|------|------|----------|
+| loginName | String | 是 | 登录账号 | 长度3-16位,只能包含字母和数字 |
+| password | String | 是 | 登录密码 | 不能为空 |
+| codeKey | String | 是 | 验证码UUID | 不能为空 |
+| securityCode | String | 是 | 验证码 | 不能为空 |
+| rememberMe | Boolean | 否 | 记住登录 | 默认false |
+
+**响应示例**:
+
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": {
+ "tokenName": "Authorization",
+ "tokenValue": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9..."
+ },
+ "traceId": "trace-123456"
+}
+```
+
+**响应参数说明**:
+
+| 参数名 | 类型 | 说明 |
+|--------|------|------|
+| tokenName | String | Token名称 |
+| tokenValue | String | Token值 |
+
+**错误码**:
+
+| 状态码 | 错误信息 | 说明 |
+|--------|----------|------|
+| 400 | 账号长度为 3-16 位 | 登录账号长度不符合要求 |
+| 400 | 账号格式为数字以及字母 | 登录账号格式不正确 |
+| 400 | 请输入登录名 | 登录名为空 |
+| 400 | 请输入密码 | 密码为空 |
+| 400 | 验证码已失效 | 验证码Key无效 |
+| 400 | 请输入验证码 | 验证码为空 |
+| 400 | 验证码错误 | 验证码不正确 |
+| 400 | 用户不存在 | 用户账号不存在 |
+| 400 | 密码错误 | 密码不正确 |
+| 400 | 账号已被停用 | 用户账号被禁用 |
+| 400 | 账号已被锁定 | 用户账号被锁定 |
+
+**调用示例**:
+
+```bash
+curl -X POST \
+ http://localhost:18099/auth/login \
+ -H 'Content-Type: application/json' \
+ -d '{
+ "loginName": "admin",
+ "password": "123456",
+ "codeKey": "550e8400-e29b-41d4-a716-446655440000",
+ "securityCode": "1234",
+ "rememberMe": false
+ }'
+```
+
+---
+
+### 2. 用户退出
+
+**接口地址**: `GET /auth/logout`
+
+**接口描述**: 用户退出登录,清除会话信息
+
+**是否需要认证**: 是
+
+**请求头**:
+
+```
+Authorization: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9...
+```
+
+**请求参数**: 无
+
+**响应示例**:
+
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": "退出成功",
+ "traceId": "trace-123456"
+}
+```
+
+**错误码**:
+
+| 状态码 | 错误信息 | 说明 |
+|--------|----------|------|
+| 401 | 当前会话未登录 | 用户未登录或Token无效 |
+
+**调用示例**:
+
+```bash
+curl -X GET \
+ http://localhost:18099/auth/logout \
+ -H 'Authorization: your-token-value'
+```
+
+---
+
+### 3. 用户注册
+
+**接口地址**: `POST /auth/register`
+
+**接口描述**: 新用户注册账号
+
+**是否需要认证**: 否
+
+**请求参数**:
+
+```json
+{
+ "loginName": "newuser",
+ "password": "123456",
+ "userName": "新用户",
+ "codeKey": "uuid-key",
+ "securityCode": "1234"
+}
+```
+
+**请求参数说明**:
+
+| 参数名 | 类型 | 必填 | 说明 | 校验规则 |
+|--------|------|------|------|----------|
+| loginName | String | 是 | 登录账号 | 长度3-16位,只能包含字母和数字 |
+| password | String | 是 | 登录密码 | 不能为空 |
+| userName | String | 是 | 用户姓名 | 不能为空 |
+| codeKey | String | 是 | 验证码UUID | 不能为空 |
+| securityCode | String | 是 | 验证码 | 不能为空 |
+
+**响应示例**:
+
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": "注册成功",
+ "traceId": "trace-123456"
+}
+```
+
+**错误码**:
+
+| 状态码 | 错误信息 | 说明 |
+|--------|----------|------|
+| 400 | 账号长度为 3-16 位 | 登录账号长度不符合要求 |
+| 400 | 账号格式为数字以及字母 | 登录账号格式不正确 |
+| 400 | 请输入登录名 | 登录名为空 |
+| 400 | 请输入密码 | 密码为空 |
+| 400 | 请输入用户姓名 | 用户姓名为空 |
+| 400 | 验证码已失效 | 验证码Key无效 |
+| 400 | 请输入验证码 | 验证码为空 |
+| 400 | 验证码错误 | 验证码不正确 |
+| 400 | 账号已存在 | 登录账号已被注册 |
+
+**调用示例**:
+
+```bash
+curl -X POST \
+ http://localhost:18099/auth/register \
+ -H 'Content-Type: application/json' \
+ -d '{
+ "loginName": "newuser",
+ "password": "123456",
+ "userName": "新用户",
+ "codeKey": "550e8400-e29b-41d4-a716-446655440000",
+ "securityCode": "1234"
+ }'
+```
+
+---
+
+## 认证流程说明
+
+### 1. 登录流程
+
+1. 用户获取验证码(调用验证码接口)
+2. 用户输入账号、密码、验证码
+3. 系统验证验证码有效性
+4. 系统验证用户账号和密码
+5. 系统检查用户状态(是否禁用/锁定)
+6. 生成Token并返回给用户
+7. 用户后续请求携带Token
+
+### 2. Token使用
+
+- Token需要在请求头中携带:`Authorization: token-value`
+- Token有过期时间,过期后需要重新登录
+- 系统支持多设备登录
+- 管理员可以强制用户下线
+
+### 3. 权限验证
+
+- 登录后系统会根据用户角色加载权限
+- 每个接口都会验证用户是否有相应权限
+- 超级管理员拥有所有权限
+
+### 4. 会话管理
+
+- 用户登录信息存储在Redis中
+- 支持会话延长
+- 支持记住登录功能
+- 系统会记录用户登录日志
+
+## 安全特性
+
+1. **密码加密**: 使用盐值加密存储密码
+2. **验证码保护**: 防止暴力破解
+3. **账号锁定**: 连续错误3次自动锁定
+4. **IP限制**: 可配置IP白名单/黑名单
+5. **会话安全**: Token有效期管理
+6. **日志记录**: 记录所有登录操作
+
+## 注意事项
+
+1. 验证码有效期为5分钟
+2. Token默认有效期为30天
+3. 账号锁定时间为10分钟
+4. 注册功能可通过配置开启/关闭
+5. 建议在生产环境中启用HTTPS
\ No newline at end of file
diff --git a/api/authentication/验证码API.md b/api/authentication/验证码API.md
new file mode 100644
index 0000000..c25b3f9
--- /dev/null
+++ b/api/authentication/验证码API.md
@@ -0,0 +1,397 @@
+# 验证码API
+
+## 概述
+
+验证码模块提供图形验证码生成功能,支持PNG和GIF两种格式,用于防止恶意攻击和机器人注册。
+
+## 接口列表
+
+### 1. 生成PNG验证码
+
+**接口地址**: `GET /captcha/png`
+
+**接口描述**: 生成PNG格式的图形验证码
+
+**是否需要认证**: 否
+
+**请求参数**: 无
+
+**响应示例**:
+
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": {
+ "uuid": "550e8400-e29b-41d4-a716-446655440000",
+ "base64": "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAGQAAAAkCAYAAAB...",
+ "captchaText": "1234"
+ },
+ "traceId": "trace-123456"
+}
+```
+
+**响应参数说明**:
+
+| 参数名 | 类型 | 说明 |
+|--------|------|------|
+| uuid | String | 验证码唯一标识,用于后续验证 |
+| base64 | String | 验证码图片Base64编码 |
+| captchaText | String | 验证码文本(开发环境返回,生产环境不返回) |
+
+**特性说明**:
+
+- 验证码长度:4位数字
+- 图片尺寸:102x38像素
+- 有效期:5分钟
+- 字体:随机字体
+- 背景:随机背景色
+- 干扰线:随机干扰线
+
+**调用示例**:
+
+```bash
+curl -X GET \
+ http://localhost:18099/captcha/png \
+ -H 'Content-Type: application/json'
+```
+
+**前端使用示例**:
+
+```javascript
+// 获取验证码
+function getCaptcha() {
+ fetch('/captcha/png')
+ .then(response => response.json())
+ .then(data => {
+ if (data.status === 200) {
+ // 显示验证码图片
+ document.getElementById('captchaImg').src = data.data.base64;
+ // 保存验证码UUID,用于登录时提交
+ document.getElementById('codeKey').value = data.data.uuid;
+ }
+ });
+}
+
+// 点击刷新验证码
+document.getElementById('captchaImg').onclick = getCaptcha;
+```
+
+---
+
+### 2. 生成GIF验证码
+
+**接口地址**: `GET /captcha/gif`
+
+**接口描述**: 生成GIF动画格式的图形验证码
+
+**是否需要认证**: 否
+
+**请求参数**: 无
+
+**响应示例**:
+
+```json
+{
+ "status": 200,
+ "msg": "SUCCESS",
+ "data": {
+ "uuid": "550e8400-e29b-41d4-a716-446655440001",
+ "base64": "data:image/gif;base64,R0lGODlhZgAyAPcAAAAAAP///wAAAP...",
+ "captchaText": "5678"
+ },
+ "traceId": "trace-123456"
+}
+```
+
+**响应参数说明**:
+
+| 参数名 | 类型 | 说明 |
+|--------|------|------|
+| uuid | String | 验证码唯一标识,用于后续验证 |
+| base64 | String | 验证码图片Base64编码 |
+| captchaText | String | 验证码文本(开发环境返回,生产环境不返回) |
+
+**特性说明**:
+
+- 验证码长度:4位数字
+- 图片尺寸:102x38像素
+- 有效期:5分钟
+- 动画效果:字符摆动动画
+- 帧数:10帧
+- 动画速度:100ms/帧
+
+**调用示例**:
+
+```bash
+curl -X GET \
+ http://localhost:18099/captcha/gif \
+ -H 'Content-Type: application/json'
+```
+
+**前端使用示例**:
+
+```javascript
+// 获取GIF验证码
+function getGifCaptcha() {
+ fetch('/captcha/gif')
+ .then(response => response.json())
+ .then(data => {
+ if (data.status === 200) {
+ // 显示验证码图片
+ document.getElementById('captchaImg').src = data.data.base64;
+ // 保存验证码UUID,用于登录时提交
+ document.getElementById('codeKey').value = data.data.uuid;
+ }
+ });
+}
+```
+
+---
+
+## 验证码配置
+
+### 1. 验证码参数配置
+
+```yaml
+# application.yml
+captcha:
+ # 验证码长度
+ length: 4
+ # 验证码宽度
+ width: 102
+ # 验证码高度
+ height: 38
+ # 验证码有效期(分钟)
+ timeout: 5
+ # 字体大小
+ font-size: 25
+ # 干扰线数量
+ line-count: 100
+ # 是否开启验证码
+ enabled: true
+```
+
+### 2. 验证码存储
+
+- 验证码使用Redis存储
+- Key格式:`captcha:uuid`
+- 过期时间:5分钟自动删除
+- 值存储:验证码文本(忽略大小写)
+
+### 3. 验证码验证
+
+```java
+// 验证码验证逻辑
+public boolean validateCaptcha(String uuid, String inputCode) {
+ // 从Redis获取验证码
+ String correctCode = redisTemplate.opsForValue().get("captcha:" + uuid);
+
+ if (correctCode == null) {
+ throw new BusinessException("验证码已过期");
+ }
+
+ // 不区分大小写验证
+ if (!correctCode.equalsIgnoreCase(inputCode)) {
+ throw new BusinessException("验证码错误");
+ }
+
+ // 验证成功后立即删除验证码(防止重复使用)
+ redisTemplate.delete("captcha:" + uuid);
+
+ return true;
+}
+```
+
+---
+
+## 安全特性
+
+### 1. 防暴力破解
+
+- 验证码一次性使用
+- 验证后立即删除
+- 5分钟自动过期
+- 支持IP限制
+
+### 2. 防机器识别
+
+- 随机字体和颜色
+- 随机背景和干扰线
+- 字符位置随机偏移
+- GIF动画增加识别难度
+
+### 3. 防重放攻击
+
+- 每次验证码都有唯一UUID
+- 验证码使用后立即失效
+- 不允许重复使用
+
+## 错误处理
+
+### 常见错误情况
+
+| 错误场景 | 错误码 | 错误信息 |
+|----------|--------|----------|
+| 验证码过期 | 400 | 验证码已失效 |
+| 验证码错误 | 400 | 验证码错误 |
+| 验证码为空 | 400 | 请输入验证码 |
+| UUID无效 | 400 | 验证码已失效 |
+| 系统异常 | 500 | 验证码生成失败 |
+
+### 错误响应示例
+
+```json
+{
+ "status": 400,
+ "msg": "验证码已失效",
+ "data": null,
+ "traceId": "trace-123456"
+}
+```
+
+---
+
+## 使用建议
+
+### 1. 前端集成
+
+```html
+
+
+
![验证码]()
+
+
+
+