security: M-2 HttpOnly-Cookie + M-4 TrustedHost-Warning + M-5 TOTP-Lockout + M-7 zentraler get_client_ip()

M-2: Refresh-Token als HttpOnly SameSite=Strict Cookie
- auth.py: _set_refresh_cookie/_delete_refresh_cookie Helpers
- Alle Auth-Endpoints (login, totp/login, refresh, logout) nutzen Cookie
- schemas/auth.py: refresh_token in Request/Response optional
- AuthContext.tsx: kein refresh_token in localStorage
- api/client.ts: credentials:include, kein Token-Body beim Refresh

M-4: TrustedHostMiddleware Warning in Production
- main.py: Startup-Warning wenn is_production + kein ALLOWED_HOSTS

M-5: TOTP-Fehlversuche Redis-Lockout
- auth.py: _check/_record/_clear_totp_lockout; 5 Versuche → 15 min Sperre

M-7: Zentraler get_client_ip()-Helper
- core/dependencies.py: get_client_ip() mit X-Real-IP → X-Forwarded-For → client.host
- hours_payouts.py, absences.py, busylight.py: request.client.host ersetzt

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

backend/app/main.py

@@ -31,6 +31,14 @@ async def lifespan(app: FastAPI):
         _log.info("Development-Modus: create_all ausgeführt.")
     else:
         _log.info("Production-Modus: create_all übersprungen — Alembic verwaltet das Schema.")
+
+    # M-4: Warnung wenn Production ohne ALLOWED_HOSTS läuft
+    if settings.is_production and not settings.allowed_hosts:
+        _log.warning(
+            "SICHERHEITSWARNUNG: ALLOWED_HOSTS ist nicht gesetzt. "
+            "In Production sollte ALLOWED_HOSTS in .env konfiguriert sein "
+            "um Host-Header-Injection zu verhindern."
+        )
     yield
     # Shutdown
     await engine.dispose()