feat: Connexion utilisateur avec sécurité renforcée

Implémente la Story 1.4 du système d'authentification avec plusieurs
couches de protection contre les attaques par force brute.

Sécurité backend :
- Authentification JWT avec access token (15min) + refresh token (7j)
- Rotation automatique des refresh tokens avec détection de replay
- Rate limiting progressif par IP (délai Fibonacci après échecs)
- Intégration Cloudflare Turnstile CAPTCHA après 5 tentatives
- Alerte email à l'utilisateur après blocage temporaire
- Isolation multi-tenant (un utilisateur ne peut se connecter que sur
  son établissement)

Frontend :
- Page de connexion avec feedback visuel des délais et erreurs
- Composant TurnstileCaptcha réutilisable
- Gestion d'état auth avec stockage sécurisé des tokens
- Tests E2E Playwright pour login, tenant isolation, et activation

Infrastructure :
- Configuration Symfony Security avec json_login + jwt
- Cache pools séparés (filesystem en test, Redis en prod)
- NullLoginRateLimiter pour environnement de test (évite blocage CI)
- Génération des clés JWT en CI après démarrage du backend

Makefile

@@ -1,4 +1,4 @@
-.PHONY: help up down restart rebuild logs ps test lint phpstan arch cs-fix warmup frontend-lint frontend-test e2e clean shell bash console
+.PHONY: help up down restart rebuild logs ps test lint phpstan arch cs-fix warmup frontend-lint frontend-test e2e clean shell bash console token token-alpha token-beta
 
 # Default target
 help:
@@ -35,6 +35,14 @@ help:
 	@echo "All:"
 	@echo "  make test      - Tous les tests"
 	@echo "  make check     - Tous les linters"
+	@echo ""
+	@echo "Setup:"
+	@echo "  make jwt-keys  - Generer les cles JWT (requis apres clone)"
+	@echo ""
+	@echo "Dev:"
+	@echo "  make token       - Creer un token d'activation (interactif)"
+	@echo "  make token-alpha - Token sur ecole-alpha (+ email=, role=, minor=1)"
+	@echo "  make token-beta  - Token sur ecole-beta (+ email=, role=, minor=1)"
 
 # =============================================================================
 # Docker
@@ -145,11 +153,42 @@ check-tenants:
 # Dev helpers
 # =============================================================================
 
-# Creer un token d'activation de test
-# Usage: make token [email=user@test.com] [role=PARENT] [minor=1]
+# Generer les cles JWT (a faire une seule fois apres clone)
+# Les cles sont gitignored pour la securite
+jwt-keys:
+	@echo "Generation des cles JWT..."
+	@docker compose exec php mkdir -p config/jwt
+	@docker compose exec php openssl genpkey -out config/jwt/private.pem -aes256 -algorithm rsa -pkeyopt rsa_keygen_bits:4096 -pass pass:$${JWT_PASSPHRASE:-classeo_jwt_passphrase_change_me}
+	@docker compose exec php openssl pkey -in config/jwt/private.pem -out config/jwt/public.pem -pubout -passin pass:$${JWT_PASSPHRASE:-classeo_jwt_passphrase_change_me}
+	@echo "Cles JWT generees dans backend/config/jwt/"
+
+# Creer un token d'activation de test (mode interactif par defaut)
+# Usage:
+#   make token                    - Mode interactif (pose des questions)
+#   make token tenant=ecole-beta  - Sur le tenant beta
+#   make token role=PROF          - Creer un prof
+#   make token email=x@y.com role=ADMIN tenant=ecole-beta minor=1
+#
+# Options: email, role (PARENT|ELEVE|PROF|ADMIN), tenant (ecole-alpha|ecole-beta), minor
 token:
 	docker compose exec php php bin/console app:dev:create-test-activation-token \
 		$(if $(email),--email=$(email),) \
 		$(if $(role),--role=$(role),) \
+		$(if $(tenant),--tenant=$(tenant),) \
 		$(if $(minor),--minor,) \
 		--base-url=http://localhost:5174
+
+# Raccourcis pour creer rapidement des tokens sur chaque tenant (non-interactif)
+token-alpha:
+	docker compose exec -T php php bin/console app:dev:create-test-activation-token -n \
+		--tenant=ecole-alpha --base-url=http://ecole-alpha.classeo.local:5174 \
+		$(if $(email),--email=$(email),--email=alpha@test.com) \
+		$(if $(role),--role=$(role),) \
+		$(if $(minor),--minor,)
+
+token-beta:
+	docker compose exec -T php php bin/console app:dev:create-test-activation-token -n \
+		--tenant=ecole-beta --base-url=http://ecole-beta.classeo.local:5174 \
+		$(if $(email),--email=$(email),--email=beta@test.com) \
+		$(if $(role),--role=$(role),) \
+		$(if $(minor),--minor,)