refactor(P0): JWT 认证、并发安全、错误日志三项安全加固

- 新增 JWT httpOnly cookie 认证链路 (jose)，登录/注册签发 token，
  所有用户和盲盒 API 改为从 cookie 提取 userId，不再信任客户端传值
- 新增 /api/auth/logout 端点清除认证 cookie
- GET /api/user 区分 owner/非 owner，非 owner 不暴露 email
- atomicUpdateRoom 新增 per-room 应用层互斥锁，防止 SQLite 下并发 lost update
- 修复 getRoomData 中 fire-and-forget delete 改为 await
- 37 个静默 catch 块跨 17 个文件添加 console.error 日志
- 新增 REFACTOR_PLAN.md 全景分析文档

src/hooks/useGeolocation.ts

@@ -37,7 +37,8 @@ async function reverseGeocode(lat: number, lng: number): Promise<string | null>
     const res = await fetch(`/api/location/regeo?lat=${lat}&lng=${lng}`);
     const data = await res.json();
     return data.name || data.formatted || null;
-  } catch {
+  } catch (e) {
+    console.error("reverseGeocode failed:", e);
     return null;
   }
 }

src/hooks/useRoomPolling.ts

@@ -36,8 +36,8 @@ export function useRoomPolling(roomId: string | undefined) {
         if (parsed.roomId) {
           mutate(parsed, { revalidate: false });
         }
-      } catch {
-        /* malformed message */
+      } catch (e) {
+        console.error("useRoomPolling: malformed SSE message:", e);
       }
     };