核心概念

控制平面（开发者平台）

magic-developer 是云端鉴权权威与原型托管后端，提供 JWT + API Key 两类鉴权： 受保护 REST 走 /api，公开原型托管走 /p（无 JWT）。

授权内核（设备授权）

桌面 app 登录后调用 POST /api/devices/register，按 (用户, 设备指纹) 注册设备， 返回 access JWT（24h） + opaque refresh token（90d，服务端仅存 SHA-256）。 POST /api/cli/refresh 续期：轮换 refresh token + 重用检测 + 账号级停用。

本机门禁（magic-stack）

magic-stack CLI 读取本机 ~/.magic-stack/auth.json 与 device.id，凭设备 token 放行受控命令；token 失效 / 设备被吊销 / 账号被停用时拒绝放行。