只承接最小表单与稳定反馈。
/auth/forgot-password
account-web
browser-cookie
邮件回跳仍由 account-web 的受控落点承接;若浏览器先落到根路径 recovery hash,前端会先规范化到 /auth/reset-password。
/auth/reset-password