docs: add web frontend engineering guide

web/.ai-specs/coding-specs/router-permission-route.md

@@ -0,0 +1,24 @@
+# router-permission-route
+
+## 适用范围
+
+- 涉及新增页面路由、动态路由、白名单、登录跳转或菜单进入逻辑时必读。
+
+## 当前入口
+
+- 静态路由入口：`src/router/index.js`
+- 全局守卫入口：`src/permission.js`
+- 动态路由状态：`src/pinia/modules/router.js`
+
+## 强制规则
+
+- 新受保护页面不能绕开 `src/permission.js` 的登录态和动态路由流程。
+- 修改路由 `name`、`path`、`redirect` 时，必须同步检查菜单、默认首页、keep-alive 和页面标题。
+- 白名单只用于登录页、初始化页和明确公开页；不要随意放宽。
+- 插件页面若接入主应用菜单和权限，也必须服从现有动态路由注册机制。
+
+## 常见错误
+
+- 只改 `src/router/index.js`，没有回查 `src/permission.js` 中的白名单和跳转逻辑。
+- 改页面路由名后，没有检查 `defaultRouter` 和缓存逻辑。
+- 单独为插件再造一个路由守卫入口，导致权限链路分叉。