Email верификация

Само при регистрация с имейл и парола. Google Sign-In прескача тази стъпка (Google вече е верифицирал имейла).

След „Регистрация“ изпращаме 6-цифрен код на имейла ти. Subject-ът е „Кодът ти: NNNNNN“. Кодът е валиден **15 минути**. Изпраща се през Resend (from адрес: `noreply@raiceptionist.com`) — провери spam-а, ако не пристигне до минута. На екрана виждаш заглавие „Потвърди имейла си“, имейла, на който е изпратен кодът, шест отделни input полета (по една цифра във всяко) и линк „Изпрати отново“ под тях.

Ако напишеш грешен код — получаваш грешка. Имаш до **5 опита** на код; след това кодът се инвалидира и трябва да поискаш нов. Endpoint-ът `/api/auth/verify-email` има отделен rate limit от 10 опита/мин на IP.

След правилен код: маркираме акаунта като `email_verified=true`, изтриваме hash-а и expiry-то, изпращаме welcome имейл, създаваме login сесия и редиректваме към /dashboard. Всичко това се случва в `/api/auth/verify-email`.