上线前检查

上线前至少确认这些事项：

安全

• DOWNCITY_CITY_ADMIN_SECRET_KEY 只存在可信环境。
• client 只拿 user_token，不接触 provider key。
• DOWNCITY_CITY_TOKEN_SIGNING_KEY 已配置到 City。
• 管理端 env 接口只允许可信请求。

稳定性

• 每个要暴露的 service 都已经通过 base.use(service) 注册。
• AI model 已通过 Provider.model() + AIService.use() 注册，并包含需要的 action。
• 关键 provider env 已配置。
• town 表使用明确的数据库 URL。
• before hook 会阻止超额用户。
• after hook 会记录 usage 和错误线索。

多产品

• town_id 能区分 town。
• usage 记录包含 town_id、user_id、model。
• 不同产品的限额策略有默认值。

回滚

• provider key 可以快速轮换。
• 模型定义可以通过代码发布快速暂停或替换。
• service 错误会被 onError 或日志系统记录。