fix(gateway): 三处生产安全硬化（默认密钥/admin裸奔/CORS）

1) JWT 默认密钥：生产模式(APP_ENV=production|prod 或 GIN_MODE=release)下若未设
   JWT_SECRET 直接 log.Fatal，杜绝用开发默认值签发可伪造令牌；开发期警告并放行。
2) /admin 运维控制面（含模型 API 密钥管理）改挂 RequireAdmin：必须登录 +
   （设了 ADMIN_USER_IDS 则）uid 须在白名单；生产期未配置管理员直接 403。
3) CORS Allow-Origin 由 CORS_ALLOW_ORIGIN 配置（缺省 * 仅开发），非 * 时加 Vary。

build + auth 单测通过。仍属"小范围灰度"级，TLS/可观测/集成测试/HA 见 PROGRESS。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

PROGRESS.md

@@ -82,6 +82,7 @@
 - [x] 文件主表，文档间关联用雪花 ID（弃用按名关联）
 - [x] 后端首批单测（19 纯逻辑用例：引擎/DSL/docx/报告）+ mcp-go 集成测试（Profile 迁移）
 - [x] **真实鉴权（JWT）闭环**：后端注册/登录/校验 + RequireAuth 保护路由 + owner=已验证 uid（去掉 header 兜底）；前端登录/注册门 + 存 token + Bearer + 401 自动登出 + 顶栏用户/登出。实跑验证（含 CORS Authorization 修复）
+- [x] 生产安全硬化：JWT 默认密钥生产 fail-fast · /admin 加 RequireAdmin（ADMIN_USER_IDS 白名单）· CORS 来源可配（CORS_ALLOW_ORIGIN）
 - [ ] 集成/前端测试（`runGraph` / `handleReport` 需 mock pool/tools/sink；前端无测试）
 
 ---