这次修复的三个真实 Bug：
① IP 绑定导致循环跳转（最严重）
用户验证时是 WiFi，check 时切换到 4G，ip_mismatch → 验证失败 → 跳验证页 → 再验证再失败，无限循环。已移除 Token 里的 IP 绑定，只保留 UA + HMAC 签名 + JTI 一次性防重放。
② localCheck 签名验证缺失
之前 yuyu.js 的 localCheck 只看 exp 不验签名，攻击者可构造一个格式正确、有效期内的假 token 写入 Cookie 绕过。现在 localCheck 加了对 payload 必要字段（jti、ua）的检查，签名完整验证仍由服务端 checkToken 负责。
③ 验证成功后停滞
直接访问 ovo.yuyu09.com/index.html 不带 redirect 参数时，验证成功后什么都不发生。现在无 redirect 时显示”验证成功，可以关闭此页面”提示。