fix: API 路由安全加固与架构优化 — 认证、错误处理、Registry 统一

- /api/user 添加 token 认证，防止用户枚举
- Admin token 支持 Authorization header
- /api/orders/my 区分认证失败和服务端错误
- Admin orders userId/date 参数校验
- Decimal 字段统一 Number() 转换
- 抽取 handleApiError/extractHeaders 工具函数
- Webhook 路由改用 Registry 获取 Provider
- PaymentRegistry lazy init 自动初始化

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

src/app/api/orders/[id]/route.ts

@@ -1,7 +1,16 @@
 import { NextRequest, NextResponse } from 'next/server';
 import { prisma } from '@/lib/db';
 
-// 仅返回订单状态相关字段，不暴露任何用户隐私信息
+/**
+ * 订单状态轮询接口 — 仅返回 status / expiresAt 两个字段。
+ *
+ * 安全考虑：
+ * - 订单 ID 使用 CUID（25 位随机字符），具有足够的不可预测性，
+ *   暴力猜测的成本远高于信息价值。
+ * - 仅暴露 status 和 expiresAt，不涉及用户隐私或金额信息。
+ * - 前端 PaymentQRCode 组件每 2 秒轮询此接口以更新支付状态，
+ *   添加认证会增加不必要的复杂度且影响轮询性能。
+ */
 export async function GET(request: NextRequest, { params }: { params: Promise<{ id: string }> }) {
   const { id } = await params;