feat: Phase 6 风险修复 + 前端 UI 保护 + 后端删除/编辑守卫

- refresh.py 排除 CF pool 账号进入 OAuth 刷新链路
- 前端 groups.js: CF provider 标签 + 编辑/删除按钮禁用
- 后端 accounts.py: CF pool 账号禁止手动删除/编辑(403)
- 全量测试 917/917 通过

Author: guanshangshui

WORKSPACE.md

@@ -106,9 +106,49 @@
 
 **修改文件**：
 - `outlook_web/services/mailbox_resolver.py` — 新增 CF pool 账号 → `kind='temp'` 逻辑
+- `outlook_web/services/refresh.py` — 排除 CF pool 账号进入 OAuth 刷新链路（`provider='cloudflare_temp_mail'`）
 - `tests/test_pool_cf_real_e2e.py` — **新增** 真实 CF Worker E2E 测试（4 个用例）
 - `tests/test_pool_cf_integration_tdd_skeleton.py` — E2E mock 测试 skip（已由真实 E2E 替代）
 
+#### 7d. Phase 6 风险修复 + 联调验收
+
+**时间**：2026-04-09
+
+**发现并修复的风险**：
+- CF pool 账号（account_type='outlook'）会被 `refresh.py` 误选入 OAuth token 刷新链路
+- 修复：`is_refreshable_outlook_account()` 新增 `provider` 参数，排除 `cloudflare_temp_mail`
+- 修复：`build_refreshable_outlook_account_where()` SQL 新增 `provider != 'cloudflare_temp_mail'` 条件
+- 验证：refresh 测试 7/7 通过
+
+**Phase 6 进度**：
+- ✅ Task 6.1: 本地联调脚本（已被真实 E2E 覆盖）
+- ✅ Task 6.3: 日志与审计（claim/complete audit 有 provider、account_id、result）
+- ✅ Task 6.4: 风险清单复核（refresh 排除 + 缓存依赖已通过 E2E 验证）
+- ✅ Task 6.5: 验收清单（claim → read → complete 全链路真实验证通过）
+
+#### 7e. Phase 6.2 前端 UI 保护 + 后端删除/编辑守卫
+
+**时间**：2026-04-09
+
+**操作内容**：
+
+1. **前端 UI 保护**（`static/js/features/groups.js`）：
+   - `getProviderLabel()` 新增 `cloudflare_temp_mail: 'CF 临时邮箱'` 标签
+   - 新增 `isCfPoolAccount` 变量，识别 CF pool 账号
+   - CF pool 账号的编辑和删除按钮设为 `disabled` + `opacity:0.3` + 提示文案
+
+2. **后端删除保护**（`outlook_web/controllers/accounts.py`）：
+   - `api_delete_account()` 新增 CF pool 检查，返回 403
+   - `api_delete_account_by_email()` 新增 CF pool 检查，返回 403
+   - `api_batch_delete_accounts()` 新增 CF pool 跳过逻辑
+   - `api_update_account()` 新增 CF pool 检查，返回 403
+
+3. **全量测试**：917 测试通过，0 failures
+
+**修改文件**：
+- `static/js/features/groups.js` — CF provider 标签 + 编辑/删除按钮禁用
+- `outlook_web/controllers/accounts.py` — 删除/编辑 CF pool 账号保护（4 处）
+
 ---
 
 #### 4. CF临时邮箱接入邮箱池：文档补齐 + TDD 编写

docs/TODO/2026-04-09-CF临时邮箱接入邮箱池TODO.md

@@ -23,7 +23,7 @@
 | Phase 3: Pool - complete 智能删除（Service） | 5 | 60 min | ✅ 已完成 |
 | Phase 4: external 读信/验证码链路适配 | 4 | 60 min | ✅ 已完成（真实 CF Worker E2E 4/4 通过） |
 | Phase 5: 测试补齐（按 TDD） | 6 | 120 min | ✅ 已完成（18 TDD 骨架 + 52 Pool 测试 + 4 真实 E2E） |
-| Phase 6: 联调与验收 | 5 | 60 min | ⬜ 待开始 |
+| Phase 6: 联调与验收 | 5 | 60 min | ✅ 已完成（含前端 UI 保护 + 后端删除/编辑守卫） |
 
 ---
 
@@ -298,8 +298,9 @@ mailbox = {
 
 ### Task 6.2：前端 UI 只读展示（如本期做）
 
-- [ ] accounts 列表能显示 provider=cloudflare_temp_mail 的记录
-- [ ] 禁用编辑/删除（按 PRD）
+- [x] accounts 列表能显示 provider=cloudflare_temp_mail 的记录（`getProviderLabel()` 新增标签）
+- [x] 禁用编辑/删除按钮（前端 `disabled` + 后端 403 双重保护）
+- [x] 后端 `api_delete_account()` / `api_delete_account_by_email()` / `api_batch_delete_accounts()` / `api_update_account()` 新增 CF pool 保护
 
 ### Task 6.3：日志与审计
 
@@ -308,14 +309,15 @@ mailbox = {
 
 ### Task 6.4：风险清单复核
 
-- [ ] 主要风险：external 读信缓存依赖 temp_emails 记录（见 Task 4.4）
-- [ ] 主要风险：CF pool 账号被 refresh 任务误刷新（通过 account_type='outlook' + refresh_token='' 可能仍被选中，需确保 refresh 筛选不会把空 refresh_token 当可刷新）
+- [x] 主要风险：external 读信缓存依赖 temp_emails 记录（已通过 E2E 验证，mailbox_resolver 返回 kind='temp'）
+- [x] 主要风险：CF pool 账号被 refresh 任务误刷新（已修复：refresh.py 排除 cloudflare_temp_mail）
 
 ### Task 6.5：验收清单（最小）
 
-- [ ] claim-random 能返回 CF 邮箱
-- [ ] verification-code 能从该邮箱提取验证码（mock 或真实环境）
-- [ ] complete success 后远程邮箱被删除（可从 CF Worker 管理台确认）
+- [x] claim-random 能返回 CF 邮箱（真实 CF Worker E2E 通过）
+- [x] verification-code 能从该邮箱提取验证码（E2E 读信链路通过）
+- [x] complete success 后远程邮箱被删除（E2E-03 通过：远程状态 401/403/404）
+- [x] 全量测试 917/917 通过
 
 ---