feat(gateway): 真实鉴权片1 —— JWT 注册/登录 + 校验中间件（后端核心）

替掉"裸 X-User-ID 头当身份"的临时方案，落地无状态 JWT 鉴权后端：

- internal/auth：JWT 签发/校验（HS256，密钥 env JWT_SECRET，仅接受 HMAC 防 alg 混淆）
  + bcrypt 密码哈希/校验。纯包，含单测。
- User 模型加 Name + PasswordHash(json:"-" 不外泄)；store 加 CreateUser/GetUserByEmail/
  GetUserByID（邮箱唯一冲突 → ErrUserExists）。
- handler/auth：POST /auth/register（建用户+签发）· POST /auth/login（校验+签发，
  用户不存在与密码错同一文案防枚举）· GET /auth/me。
- middleware/auth：解析 Bearer JWT，校验通过把已验证 userID 注入上下文（非阻断）。
- userID(c) 改为优先取 JWT 注入的 uid，兜底 X-User-ID 头（前端尚未接登录，保持可用）。

验证：
- 单测：JWT 签发/解析往返、过期拒绝、篡改/非法拒绝、bcrypt 哈希校验。
- 实跑(nats+pg+gateway)：注册→token+user(无密码)、重复注册 409、错密码 401、
  /auth/me 带 token 200 / 无 token 401；owner 隔离改用已验证 uid —— 带 token 建的库
  匿名/伪造 header 都看不到（JWT 用户数据归于雪花 id，header 无法臆测）。

片 2 待做：前端登录页 + 存令牌带 Bearer + 处理 401 + 去掉 header 兜底 + 保护路由。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

sundynix-gateway/internal/router/router.go

@@ -16,11 +16,16 @@ func New(db *store.Postgres, cache *store.Redis, bus *nats.Bus, blobStore *blob.
 	r := gin.Default()
 	r.Use(cors()) // 桌面端/浏览器跨源访问（开发期放开）
 	r.Use(middleware.RateLimit(cache))
-	r.Use(middleware.Guardrail()) // Harness: Input/Output Guardrail
+	r.Use(middleware.Auth())      // 解析 Bearer JWT，注入已验证 userID（非阻断）
+	r.Use(middleware.Guardrail()) // Harness: Input Guardrail
 
 	h := handler.New(db, cache, bus, blobStore)
 	api := r.Group("/api/v1")
 	{
+		api.POST("/auth/register", h.Register) // 注册 + 签发 JWT
+		api.POST("/auth/login", h.Login)       // 登录 + 签发 JWT
+		api.GET("/auth/me", h.Me)              // 当前登录用户
+
 		api.POST("/tasks", h.SubmitTask)                   // 1. 解析 DSL 并 Publish 到 NATS
 		api.GET("/tasks/:id/stream", h.StreamTask)         // 4. SSE/WS 回流 Token Stream
 		api.GET("/tasks/:id/exec", h.StreamExec)           // 4b. SSE 回流执行轨迹事件（运行·观测）