1. Запросить код
POST `/api/auth/email/request` с JSON `email`. Endpoint не раскрывает, существует ли пользователь.
Auth
Вход по email-коду
В MVP endpoint создаёт одноразовый код и session cookie. Production email provider пока не подключён; dev-код возвращается только вне production.
2. Подтвердить код
POST `/api/auth/email/verify` с JSON `email` и `code`. Код одноразовый, истекает через 15 минут и имеет лимит попыток.