docs(roadmap): graduate next-phase work out of Future Ideas

Promote four now-decided directions from Future Ideas into a new
"下一阶段：已确定要做" section (roadmap altitude, not yet broken into task cards):
TOTP second factor for the public dashboard, frontend optimization (scope TBD),
MQTT / IoT integration, and a settings-page long-lived API token (PAT-style,
related to but distinct from M3's mobile OAuth). Future Ideas is now an empty,
purpose-stated bucket for not-yet-decided ideas.

docs/roadmap.md

@@ -149,11 +149,11 @@
 - 移动端是这一阶段最远期、最不确定的部分。
 - token 主要是移动端的前置条件；Web 端 React 用现有 session cookie 即可，不需要为它提前引入 token。
 
-## Future Ideas（暂不排期，想到先记下）
+## 下一阶段：已确定要做（尚未拆解为任务卡）
 
-> 这里收集**还没排进里程碑**的想法。不是承诺、也没有先后顺序；想做时再从这里捞出来细化成 `docs/design/` 的任务卡。**明确不开 M2.5**——下列条目一律先躺在 Future Ideas，之后再说。
+> 这些是 M2 之后**已经定下来要做**的方向——区别于下面的 Future Ideas（仅备忘、未必做）。这里只记到 roadmap 粒度：确定**做什么、为什么**；具体排期、依赖与原子任务，等动手时再展开成 `docs/design/` 的任务卡。**先后顺序未定**，部分项（如 MQTT）时间点灵活，可提前也可靠后。
 
-### TOTP 二次验证（Dashboard 加固）
+### 1. TOTP 二次验证（Dashboard 加固）
 
 **动机**：M2 之后多了一个 Web Dashboard。它虽有单 admin 密码保护，但**大概率会暴露在公网**上，只靠密码这一层不够。给登录再叠一层 **TOTP（基于时间的一次性密码，RFC 6238）** 作为第二因子，做纵深防御。
 
@@ -167,4 +167,34 @@
 1. **忘记密码**：不需要任何 Web 端“找回密码”流程——直接在命令行里重置 admin 密码即可（沿用现有 CLI 思路）。
 2. **TOTP 重置 / 恢复**：必须提供**命令行重置入口**。要覆盖最坏情况——**连恢复码（restore key）都丢了**，也能纯靠 CLI 把 TOTP 关掉 / 重新发放新的 secret，从而恢复登录。即：**CLI 是不依赖任何已存恢复凭据的最终逃生通道**，不能出现“密钥丢了就彻底锁死”的死角。
 
-**先不做**：本条仅记入 Future Ideas，不进 M2.5、不排期；之后再细化为 design 任务卡。
+### 2. 前端优化
+
+**动机**：M2 的 React SPA 先把功能跑通，性能 / 体验层面的打磨还没做。这一项**确定要做，但具体优化什么还没定**。
+
+**范围（待定）**：方向先留空，想清楚再细化。可能的候选（仅占位、非承诺）：打包体积与代码分割（M2 构建已提示存在 > 500 kB 的单 chunk）、首屏加载、热力图 / 地图的渲染性能、移动端适配、可访问性等。等确定具体目标后再拆任务卡。
+
+### 3. MQTT 与 IoT 集成
+
+**动机**：把这个后端接入家里的 IoT 设备生态，用 **MQTT** 作为设备 ↔ 后端的消息通道。属于**确定的实现方向**，时间点灵活——可以放到后面，也可以提前先做一部分。
+
+**范围（粗略，待细化）**：
+
+- 引入 MQTT（接入既有 broker 或自带一个），后端作为订阅 / 发布方与设备互通。
+- 与现有模块（Home Assistant in/out、location / poo recorder 等）如何衔接、哪些数据走 MQTT，待细化。
+- 设备侧鉴权 / 安全边界另议（可能与下面第 4 条的 token 共用一套凭据）。
+
+### 4. 设置页生成 Long-lived Token（供 API 调用）
+
+**动机**：浏览器端走 session cookie 即可，但**脚本 / 设备 / 外部程序调用 API** 需要一种长期有效、可随身携带的凭据。在设置页加一组功能，由 admin **手动签发 long-lived token**，之后用它来调 API。
+
+**范围（粗略，待细化）**：
+
+- 设置页新增「API Token」区：生成 / 命名 / 吊销 long-lived token；明文只在**生成时展示一次**，此后只存哈希。
+- 后端支持用该 token 鉴权访问 API（与现有 session cookie 并存，互不影响）。
+- 与 [M3](#m3--开放与移动端远期试水) 的 token 主题相关，但**这条是 Web 设置页手动签发的 PAT 风格**，不依赖移动端 OAuth 流程；两者实现时可复用同一套 token 存储 / 校验。
+
+## Future Ideas（暂不排期，想到先记下）
+
+> 这里收集**还没排进里程碑、也还没决定要不要做**的想法。不是承诺、也没有先后顺序；想做时再从这里捞出来——先升进上面的「下一阶段」，再细化成 `docs/design/` 的任务卡。
+
+_（暂无条目：原 TOTP 已确定要做，已上移到「下一阶段」。）_