Login + ABM de operadores + audit log con UI

Backend:
- 3 migrations: system_users (citext email único, password_hash, active),
  system_sessions (UUID + expires_at + revoked_at), ALTER audit_log con
  actor_user_id/actor_email/actor_ip/action_path/summary y entity_id NULL.
- src/modules/auth/: usersRepo, sessionsRepo, passwords (bcrypt cost 10),
  auth (login/logout), bootstrap (crea admin desde ADMIN_EMAIL/PASSWORD si
  la tabla está vacía). 4 tests passwords (hash distinto cada vez, verify
  rechaza, longitud mínima 8).
- middleware/requireAuth: lee cookie bot_session, busca sesión activa,
  popula req.user. Whitelist: /styles, /components, /lib, /login, /, /home
  y SPA paths (HTML carga sin auth, el JS gatea con /api/auth/me).
- middleware/auditWriter: registra cada POST/PUT/DELETE 2xx en audit_log
  con req.user, IP, body redactado (passwords/tokens/secrets). Handlers
  pueden enriquecer summary via res.locals.audit.
- routes: /api/auth/{login,logout,me} (cookie httpOnly + DB session),
  /api/system-users (ABM con guards: cant_delete_self, cant_deactivate_self,
  email único, password ≥ 8), /api/audit-log + /api/audit-log/actors.
- src/app.js: orden estricto — webhooks (sin auth) → auth routes (sin auth)
  → /login HTML → static → SPA HTML → requireAuth + auditWriter → API admin.

Bootstrap del primer admin se ejecuta en index.js antes de listen. Usa
ADMIN_EMAIL/ADMIN_PASSWORD/ADMIN_NAME del .env. Si no están seteados y la
tabla está vacía, warn y exit (nadie puede loguearse).

Frontend:
- /login.html + /login.js: form simple, POST a /api/auth/login con
  credentials:include, redirect a ?next=... o /home. Si ya hay sesión
  activa, va directo a /home.
- public/app.js gate: chequea /api/auth/me antes de initRouter; sin sesión
  redirige a /login?next=<path>. window.__USER__ disponible para shell.
- ops-shell: nav agrega "Operadores" + "Actividad". Header derecha muestra
  email del user + botón Salir (POST /api/auth/logout + redirect /login).
- system-users-crud: CRUD lista/form (estilo settings). Crear/editar/
  cambiar password/eliminar. UI muestra badge "Vos" + bloquea eliminarse
  ni desactivarse a uno mismo.
- audit-log: tabla read-only con filtros (actor, entity_type, since,
  search), paginación 50, badges por acción, modal de detalles con
  changes JSON. /api/audit-log/actors pobla el dropdown de operadores.

Smoke E2E: login OK + cookie set, /me 200; logout → /me 401; settings POST
genera fila en audit_log con actor_email + action_path; ABM crea/borra
operadores con guards; intentar borrarse devuelve 400 cant_delete_self.

161/161 tests verde (pre-existentes 157 + 4 passwords nuevos).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

src/modules/auth/db/sessionsRepo.js

@@ -0,0 +1,60 @@
+import { pool } from "../../shared/db/pool.js";
+
+const SESSION_TTL_DAYS = 14;
+
+export async function createSession({ user_id, ip = null, user_agent = null }) {
+  const sql = `
+    INSERT INTO system_sessions (user_id, ip, user_agent, expires_at)
+    VALUES ($1, $2, $3, NOW() + ($4 || ' days')::interval)
+    RETURNING id, user_id, expires_at, created_at
+  `;
+  const { rows } = await pool.query(sql, [user_id, ip, user_agent, String(SESSION_TTL_DAYS)]);
+  return rows[0];
+}
+
+/**
+ * Devuelve user + session si la sesión existe, no está revocada y no expiró.
+ */
+export async function findActiveSessionWithUser(sessionId) {
+  if (!sessionId) return null;
+  const sql = `
+    SELECT
+      s.id          AS session_id,
+      s.expires_at,
+      s.user_id,
+      u.email,
+      u.name,
+      u.active
+    FROM system_sessions s
+    JOIN system_users u ON u.id = s.user_id
+    WHERE s.id = $1
+      AND s.revoked_at IS NULL
+      AND s.expires_at > NOW()
+      AND u.active = true
+    LIMIT 1
+  `;
+  try {
+    const { rows } = await pool.query(sql, [sessionId]);
+    return rows[0] || null;
+  } catch {
+    // sessionId inválido (no es UUID) → no es una sesión válida.
+    return null;
+  }
+}
+
+export async function revokeSession(sessionId) {
+  if (!sessionId) return false;
+  try {
+    const { rowCount } = await pool.query(
+      `UPDATE system_sessions SET revoked_at = NOW() WHERE id = $1 AND revoked_at IS NULL`,
+      [sessionId],
+    );
+    return rowCount > 0;
+  } catch {
+    return false;
+  }
+}
+
+export async function purgeExpiredSessions() {
+  await pool.query(`DELETE FROM system_sessions WHERE expires_at < NOW() - INTERVAL '7 days'`);
+}