fix(auth): fail closed on token and validation checks

Made-with: Cursor

docs/license-replacement-test-record.md

@@ -284,3 +284,15 @@
 
 - 自有业务代码已移除 `crmeb\basic\BaseAuth`、`crmeb\basic\BaseController`、加密版权 helper 的直接引用。
 - 本地 `php think list` 仍受商业授权环境影响，部署前需要在合法授权或目标运行环境完成全量手工回归。
+
+## 审查修复记录
+
+### 自动化检查
+
+| 命令 | 结果 | 备注 |
+|------|------|------|
+| `php -l app/common/controller/AppBaseController.php` | 通过 | 修复校验失败未抛异常的问题。 |
+| `php -l app/services/auth/AccessTokenService.php` | 通过 | 增加账号状态校验回调。 |
+| `php -l app/services/out/OutAccountServices.php` | 通过 | 刷新 token 时补齐 `auth` claim，并拒绝禁用/删除外部账号。 |
+| `php -l app/services/kefu/LoginServices.php` | 通过 | 拒绝禁用客服账号 token。 |
+| `rg "crmeb\\basic\\BaseAuth|crmeb\\basic\\BaseController|app\\(\\)->make\\(BaseAuth::class\\)|__z6uxy|__qsG" pro_v3.5.1 --glob "*.php"` | 通过 | 应用层仍无商业基础类和加密版权 helper 引用。 |