fix(gateway): 三处生产安全硬化（默认密钥/admin裸奔/CORS）

1) JWT 默认密钥：生产模式(APP_ENV=production|prod 或 GIN_MODE=release)下若未设
   JWT_SECRET 直接 log.Fatal，杜绝用开发默认值签发可伪造令牌；开发期警告并放行。
2) /admin 运维控制面（含模型 API 密钥管理）改挂 RequireAdmin：必须登录 +
   （设了 ADMIN_USER_IDS 则）uid 须在白名单；生产期未配置管理员直接 403。
3) CORS Allow-Origin 由 CORS_ALLOW_ORIGIN 配置（缺省 * 仅开发），非 * 时加 Vary。

build + auth 单测通过。仍属"小范围灰度"级，TLS/可观测/集成测试/HA 见 PROGRESS。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

sundynix-gateway/internal/router/router.go

@@ -2,6 +2,8 @@
 package router
 
 import (
+	"os"
+
 	"github.com/gin-gonic/gin"
 
 	"github.com/sundynix/sundynix-gateway/internal/blob"
@@ -55,8 +57,8 @@ func New(db *store.Postgres, cache *store.Redis, bus *nats.Bus, blobStore *blob.
 			p.GET("/billing", h.Billing)
 		}
 
-		// 运维控制面：LLM 模型配置（独立运维控制台调用；鉴权待后续接管理员角色）。
-		admin := api.Group("/admin")
+		// 运维控制面：LLM 模型配置（含 API 密钥管理）—— 必须管理员（RequireAdmin）。
+		admin := api.Group("/admin", middleware.RequireAdmin())
 		{
 			admin.GET("/models", h.ListModels)
 			admin.POST("/models", h.SaveModel)
@@ -68,10 +70,18 @@ func New(db *store.Postgres, cache *store.Redis, bus *nats.Bus, blobStore *blob.
 	return r
 }
 
-// cors 放开跨源访问，允许桌面端/浏览器带自定义身份头与 SSE 访问网关（开发期）。
+// cors 控制跨源访问。允许来源经 CORS_ALLOW_ORIGIN 配置（缺省 "*" 仅供开发；
+// 生产应设为具体源，如 https://app.example.com）。Vary 保证按 Origin 正确缓存。
 func cors() gin.HandlerFunc {
+	origin := "*"
+	if v := os.Getenv("CORS_ALLOW_ORIGIN"); v != "" {
+		origin = v
+	}
 	return func(c *gin.Context) {
-		c.Header("Access-Control-Allow-Origin", "*")
+		c.Header("Access-Control-Allow-Origin", origin)
+		if origin != "*" {
+			c.Header("Vary", "Origin")
+		}
 		c.Header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
 		c.Header("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Session-ID, X-User-ID")
 		if c.Request.Method == "OPTIONS" {