refactor(P0): JWT 认证、并发安全、错误日志三项安全加固

- 新增 JWT httpOnly cookie 认证链路 (jose)，登录/注册签发 token，
  所有用户和盲盒 API 改为从 cookie 提取 userId，不再信任客户端传值
- 新增 /api/auth/logout 端点清除认证 cookie
- GET /api/user 区分 owner/非 owner，非 owner 不暴露 email
- atomicUpdateRoom 新增 per-room 应用层互斥锁，防止 SQLite 下并发 lost update
- 修复 getRoomData 中 fire-and-forget delete 改为 await
- 37 个静默 catch 块跨 17 个文件添加 console.error 日志
- 新增 REFACTOR_PLAN.md 全景分析文档

src/app/profile/page.tsx

@@ -80,7 +80,8 @@ export default function ProfilePage() {
           router.push("/");
         }
       })
-      .catch(() => {
+      .catch((e) => {
+        console.error("ProfilePage: fetch user failed:", e);
         setProfile({ ...cached });
       })
       .finally(() => setLoading(false));
@@ -93,7 +94,7 @@ export default function ProfilePage() {
     fetch(`/api/user/favorite?userId=${userId}`)
       .then((r) => { if (!r.ok) throw new Error(); return r.json(); })
       .then((data) => setFavorites(Array.isArray(data) ? data : []))
-      .catch(() => {})
+      .catch((e) => { console.error("ProfilePage: fetch favorites failed:", e); })
       .finally(() => setFavLoading(false));
   }, [userId]);
 
@@ -226,8 +227,8 @@ export default function ProfilePage() {
     }
   };
 
-  const handleLogout = () => {
-    logout();
+  const handleLogout = async () => {
+    await logout();
     router.push("/");
   };