# Change: 为ERPTurbo_Poster API添加身份验证

## Why
当前ERPTurbo_Poster服务的API接口对所有人开放，缺乏身份验证机制，这导致了安全风险：资源滥用、恶意使用和数据泄露风险。任何用户都可以无限制地调用API生成海报和PDF，缺乏访问控制。

## What Changes
- 实施API密钥认证机制，要求所有API调用包含有效密钥
- 为/api/v1/poster和/api/v1/pdf端点添加认证中间件
- 支持通过环境变量配置允许的API密钥列表
- 保持健康检查端点(/status)无需认证
- 提供DISABLE_API_AUTH环境变量用于临时禁用认证

## Impact
- Affected specs: authentication (新增)
- Affected code: server.mjs, lib/auth.js, .env.example
- **BREAKING**: API调用现在需要有效的API密钥
- 提升了服务安全性和访问控制能力