sec(auth): comparação constant-time do BEARER_TOKEN

[BrunooMoniz]

Bloco D do plano pós-diagnóstico (segurança)

O BEARER_TOKEN mestre era comparado com === (não constant-time) em /mcp e /status, vazando timing que poderia ajudar a recuperar o token byte a byte.

• Troca as duas comparações por safeEqual (timingSafeEqual + length-guard) — o helper já usado em oauth.ts. Comportamento idêntico (verdadeiro sse igual), agora sem o canal de timing.

npm run build + npm test verdes (1265/1265).

Itens do Bloco D que ficam para seu OK explícito (risco/escopo)

• Cifrar o oauth-store (oauth.ts): muda persistência de credencial e depende de SECRETS_KEY na VPS — faço backward-compatible, mas merece confirmação.
• Remover o double-cast as unknown as no gate de auth (index.ts): exige redefinir TokenScopes (Workspace[] vs strings de friend) num caminho de segurança — decisão de modelagem deliberada.
• Logger central e nonce na CSP do admin: maiores/espalhados, baixo risco de correção mas fora do cirúrgico.

🤖 Generated with Claude Code