feat(auth): 服务端托管 Google OAuth；修复未解锁 vault 时 bootstrap

- API：桌面登录 session、Google 托管回调与轮询
- Desktop：轮询登录；bootstrap 在 vault 未解锁时不返回 shell，避免跳过主密码
- 文档与 deploy/.env.example 对齐 GOOGLE_OAUTH_* 与 SECRETS_PUBLIC_BASE_URL

deploy/.env.example

@@ -17,10 +17,15 @@ SECRETS_DAEMON_BIND=127.0.0.1:9515
 SECRETS_API_BASE=http://127.0.0.1:9415
 SECRETS_DAEMON_URL=http://127.0.0.1:9515/mcp
 
-# ─── Google OAuth ─────────────────────────────────────────────────────
-# 桌面端优先从这个 installed client JSON 读取 Desktop OAuth 配置
-# 推荐填写绝对路径；若使用相对路径，则以仓库根目录为基准解析
-GOOGLE_OAUTH_CLIENT_FILE=/absolute/path/to/client_secret_738964258008-0svfo4g7ta347iedrf6r9see87a8u3hn.apps.googleusercontent.com.json
+# ─── Google OAuth（服务端托管）──────────────────────────────────────────
+# 官网 DMG 正式分发时，Google OAuth 凭据只配置在 API 服务端
+SECRETS_PUBLIC_BASE_URL=http://127.0.0.1:9415
+GOOGLE_OAUTH_CLIENT_ID=your-google-oauth-client-id.apps.googleusercontent.com
+GOOGLE_OAUTH_CLIENT_SECRET=your-google-oauth-client-secret
+GOOGLE_OAUTH_REDIRECT_URI=http://127.0.0.1:9415/auth/google/callback
+# 可选：如不配置则使用 Google 默认公开端点
+# GOOGLE_OAUTH_AUTH_URI=https://accounts.google.com/o/oauth2/v2/auth
+# GOOGLE_OAUTH_TOKEN_URI=https://oauth2.googleapis.com/token
 # 若仍无法换 token（仅提供端口代理、无系统代理）：可取消注释并改为本机代理地址
 # HTTPS_PROXY=http://127.0.0.1:7890
 # NO_PROXY=localhost,127.0.0.1