docs: приведение документации в соответствие с backend

- Auth: register без токенов до верификации (userId, message, verificationCode)
- Auth: login — 429 RATE_LIMIT_EXCEEDED при lockout, user с avatarUrl
- Auth: verify-email — { userId, code }, без Bearer
- Auth: reset-password — поле newPassword
- Profile: stats — byStack, totalTestsTaken, totalQuestions, correctAnswers, accuracy
- Tests: POST /tests возвращает полный список questions
- Tests: answer — полный snapshot отвеченного вопроса
- Tests: history — offset-пагинация (limit/offset), формат { tests, total }
- Admin: GET /admin/questions/pending, POST approve/reject, PATCH для редактирования
- DB: email_verification_codes, password_reset_tokens; обновлена question_cache_meta
- Security: CORS_ORIGINS из env, CSP/COEP отключены
- LLM: LLM_FALLBACK_MODEL, LLM_RETRY_DELAY_MS
- Onboarding: правило .env.example, JWT_SECRET >= 32 символов

onboarding/setup.md

@@ -69,17 +69,22 @@ DATABASE_URL=postgresql://samreshu:samreshu_dev@localhost:5432/samreshu
 # Redis
 REDIS_URL=redis://localhost:6379
 
-# Auth
+# Auth (JWT_SECRET минимум 32 символа в production)
 JWT_SECRET=dev-secret-change-in-production
 JWT_ACCESS_TTL=15m
 JWT_REFRESH_TTL=7d
 
+# CORS (через запятую: http://localhost:5173,https://samreshu.ru)
+CORS_ORIGINS=http://localhost:5173
+
 # LLM
 LLM_BASE_URL=http://localhost:11434/v1
 LLM_MODEL=qwen2.5:14b
 LLM_API_KEY=
+LLM_FALLBACK_MODEL=qwen2.5:7b
 LLM_TIMEOUT_MS=15000
 LLM_MAX_RETRIES=1
+LLM_RETRY_DELAY_MS=2000
 LLM_TEMPERATURE=0.7
 LLM_MAX_TOKENS=2048
 
@@ -96,6 +101,8 @@ SENTRY_DSN=
 
 `.env` файл **не коммитится**. В репо лежит `.env.example` с теми же ключами и примерами значений.
 
+**Правило:** `.env.example` обновляется при добавлении новых фич — новые переменные (rate limits, LLM, CORS и т.д.) должны быть зафиксированы в шаблоне. **JWT_SECRET** должен быть не менее 32 символов (рекомендуется `openssl rand -base64 32`).
+
 ## Быстрый старт
 
 ```bash