diff --git a/CLAUDE.md b/CLAUDE.md
index 568338a..d5f33ab 100644
--- a/CLAUDE.md
+++ b/CLAUDE.md
@@ -86,3 +86,14 @@ ssh vote "pm2 logs gala-server --lines 50"
 - `fix`: 修复
 - `chore`: 杂项
 - `refactor`: 重构
+
+---
+
+## 关键变更记录
+
+### 2026-02-03
+
+- 公众号 OAuth 安全加固：`/api/mp/auth-url` 生成并缓存 state，`/api/mp/login` 强制校验 state。
+- 增加回调域名白名单：新增 `WECHAT_MP_REDIRECT_ALLOWLIST`，仅允许白名单 host 的 `redirect_uri`。
+- 移动端授权回调携带 state：微信回调时将 `state` 与 `code` 一起提交登录。
+- 补充部署与生产环境变量示例：新增 `WECHAT_MP_APP_ID/SECRET/REDIRECT_ALLOWLIST` 说明。