Fix: bridge page идентична Navi, gnexus-ui-kit стили

Fix: bridge page строго в стиле gnexus-ui-kit, без закруглений ...

- Цвета взяты из реального kit.css: #16161e page, #1f2335 card, #c0caf5 primary,
  #a9b1d6 text-medium, #787c99 muted
- Карточка: .card с border 2px solid #c0caf5, без border-radius
- Заголовок: .card-title bg #c0caf5 color #16161e uppercase bold
- Кнопка: .btn-primary color #c0caf5 border 2px solid #c0caf5,
  hover bg #c0caf5 color #16161e — строго как в kit.css
- Убраны все border-radius и закругления

Fix: стилизованная bridge page для Android OAuth (адаптировано из navi-1) ...

- Адаптирована вёрстка bridge page из navi-1 под shserv gnexus-ui-kit стиль
- Цвета: --page #0f172a, --accent #12b7f5, --text-light #f1f5f9 и т.д.
- Логотип-галочка в rounded box, border-left accent, uppercase заголовок
- Fallback кнопка с hover-эффектом, spinner во время редиректа
- intent:// URL остаётся без изменений, работает на полном Chrome

Fix: OAuth mobile flow + desktop auth + storage abstraction ...

- Desktop: initAccessToken() теперь вызывается всегда, не только в native
  (исправлен бесконечный цикл логина на десктопе)
- Server: returnTo читается из сессии ДО handleCallback(), пока state живой
  (исправлено: OAuth после авторизации не возвращал на mobile-bridge)
- Storage abstraction: единый адаптер storage.js (Preferences / localStorage)
- Navigation abstraction: единый navigation.js (redirectToOAuth, getOAuthReturnTo)
- AuthController::mobileBridge() — bridge page с intent:// deep link
- Android: custom MainActivity с Theme override, статус бар opaque
- Android: AndroidManifest intent-filter для shserv://auth/callback
- .gitignore: добавлен server/.env, удалён из tracking

Feat: мобильная авторизация через OAuth bridge page + CapacitorHttp ...

- Добавлен серверный endpoint /auth/mobile-bridge:
  - После OAuth callback берёт токен из сессии (refreshAccessToken)
  - Рендерит HTML-страницу, которая редиректит WebView обратно в приложение
  - Редирект: https://localhost/#/mobile-auth?token=TOKEN&expires_in=EXPIRES

- Добавлена Vue-страница /mobile-auth:
  - Ловит токен из URL query params
  - Сохраняет в localStorage через setAccessToken()
  - Инициализирует authStore и редиректит на dashboard

- Все auth-редиректы в мобильном приложении исправлены:
  - 401 в API → /#/login (вместо прямого OAuth на сервере)
  - Logout → /#/login
  - LoginPage/AppShell login → /auth/login?return_to=/auth/mobile-bridge

- Включён CapacitorHttp в capacitor.config.json:
  - Нативный HTTP стек обходит CORS, никаких серверных заголовков не нужно

- Обновлён server/dist/ (production bundle)

P1: Add structured business-logic logging across PHP server (auth, devices, scripts, areas, events)

Phase 3 infrastructure hardening: IP/UA binding, nginx getallheaders fallback, auth rate limiting, permission cache

Phase 2 session stability: refresh queue, Bearer fallback, proactive refresh

Phase 1 auth security hotfixes: cookie-based session, bearer checks, router guard sync ...

- Remove access_token from OAuth callback URL (token leak fix)
- Add sanitizeReturnTo() to prevent open redirect on login/callback
- Add Bearer token expiration check in resolve_user_by_bearer()
- Add user status check in load_user_by_id() (block inactive/banned)
- Cache authStore.init() promise to prevent race condition
- Await auth init in router beforeEach guard
- Remove URL token parsing from main.js and LoginPage
- Remove hasTokenInUrl workaround from client.js 401 handler

Fix OAuth callback URL: insert access_token query string BEFORE hash fragment so Vue can read it via window.location.search

Add Bearer token persistence for cross-domain SPA auth ...

- api/auth.js: persist access token in localStorage so it survives
  page reloads and works across domains (panel vs server IP).
- LoginPage.vue: on mount, check for access_token in URL query
  params (from OAuth callback) and initialize auth store.
- AuthController::callback(): append access_token + expires_in to
  the redirect URL so the SPA can capture it.

Fix logout: session_start + destroy cookie + redirect to local /login instead of /auth/login

Make user card avatar/name clickable link to gnexus-auth profile

Add GnUserCard drawer footer; fix proxy.php cookie forwarding and /auth/ whitelist

Fix auth session persistence: add credentials:include to fetch and session_start to auth flow ...

- http.js: add credentials: 'include' to fetch() so cookies are sent
  with every API request (fixes /auth/me returning 401 after callback)
- AuthControllerTrait::resolve_user(): ensure session_start() before
  reading
- AuthController::callback(): ensure session_start() before writing

- AuthService::handleCallback(): defer DB token persistence until
  local user ID is resolved; store temp token data in session
- UserResolver: fix lastInsertId() method name, remove avatarUrl()
  call (use profile array instead)

This fixes the loop where user was redirected back to /login after
successful OAuth callback because PHP session cookie was not sent
with the /auth/me request.

Phase 0: gnexus-auth integration infrastructure ...

- Add gnexus/auth-client via Composer vcs
- Thin PSR-18/17 cURL adapter (zero extra deps)
- SessionStateStore, SessionPkceStore, DbTokenStore
- AuthService wrapper: login URL, callback, logout, refresh, me
- UserResolver + PermissionResolver
- AuthController (login, callback, logout, me, refresh)
- WebhookController + WebhookRouter + event handlers
- AuthControllerTrait for endpoint protection
- Migration: 9 tables (users, roles, permissions, overrides, groups, members, group_perms, sessions, audit) + seed data
- Remove old Example_AuthController
- Add GAUTH_* env variables to config and .env.example