feat: Connexion utilisateur avec sécurité renforcée

Implémente la Story 1.4 du système d'authentification avec plusieurs
couches de protection contre les attaques par force brute.

Sécurité backend :
- Authentification JWT avec access token (15min) + refresh token (7j)
- Rotation automatique des refresh tokens avec détection de replay
- Rate limiting progressif par IP (délai Fibonacci après échecs)
- Intégration Cloudflare Turnstile CAPTCHA après 5 tentatives
- Alerte email à l'utilisateur après blocage temporaire
- Isolation multi-tenant (un utilisateur ne peut se connecter que sur
  son établissement)

Frontend :
- Page de connexion avec feedback visuel des délais et erreurs
- Composant TurnstileCaptcha réutilisable
- Gestion d'état auth avec stockage sécurisé des tokens
- Tests E2E Playwright pour login, tenant isolation, et activation

Infrastructure :
- Configuration Symfony Security avec json_login + jwt
- Cache pools séparés (filesystem en test, Redis en prod)
- NullLoginRateLimiter pour environnement de test (évite blocage CI)
- Génération des clés JWT en CI après démarrage du backend

backend/.env

@@ -66,9 +66,20 @@ TENANT_BASE_DOMAIN=classeo.local
 
 ###> app ###
 # Frontend URL for emails and links
-APP_URL=http://localhost:5173
+APP_URL=http://localhost:5174
 ###< app ###
 
 ###> nelmio/cors-bundle ###
-CORS_ALLOW_ORIGIN='^https?://(localhost|127\.0\.0\.1)(:[0-9]+)?$'
+CORS_ALLOW_ORIGIN='^https?://(localhost|127\.0\.0\.1|[\w-]+\.classeo\.local)(:[0-9]+)?$'
 ###< nelmio/cors-bundle ###
+
+###> cloudflare/turnstile ###
+# Cloudflare Turnstile CAPTCHA (anti-bot protection)
+# Get keys from: https://dash.cloudflare.com/?to=/:account/turnstile
+# Cloudflare Turnstile - use test keys for local dev
+# Test secret that always passes: 1x0000000000000000000000000000000AA
+# Real key for production: set in .env.local
+TURNSTILE_SECRET_KEY=1x0000000000000000000000000000000AA
+# Fail open on API errors: true=allow through (dev), false=block (prod)
+TURNSTILE_FAIL_OPEN=true
+###< cloudflare/turnstile ###